【訳】
AD環境での自己増殖機能を持つDarkSideランサムウェアについて
【図表】
図1.ランサムウェアの動作方法 ランサムウェアの動作方法
図2. 元のコマンドライン
図3. 変更されるコマンドライン引数
図4 変更後のコマンドライン 変更されたコマンドライン引数
図5 実際に実行されたコマンドライン 表5から異常なプロセス実行を検出するAhnLab EDR
図6. メモリに書き込まれた実行とデータを検出するAhnLab MDS
図 7. ランサムノート
図8 自己削除コマンド 自己削除コマンドを検知しているAhnLab MDS
図9. 自己削除コマンドを検知したAhnLab EDR
図10 ドメインコントローラーを介したランサムウェアの配布方法 ドメインコントローラーを介したランサムウェアの配布方法
図11 ランサムウェアを検知するグループポリシー グループポリシーで生成されたランサムウェアの実行を検知するAhnLab EDR
図12. PowerShellを用いたグループポリシーの配布を検知するAhnLab EDR
図13. VirusTotalで発見されなかったDarkSideランサムウェア
図 14. AhnLab MDSで検出されたDarkSideランサムウェア
図15.AhnLab MDSで検出されたDarkSideランサムウェア AhnLab EDRで検出されたDarkSideランサムウェア
出典: https://asec.ahnlab.com/en/47174/
【ブログ】
◆DarkSide Ransomware With Self-Propagating Feature in AD Environments (Ahnlab, 2023/02/06)
[AD環境で自己増殖する機能を持つDarkSideランサムウェア]
https://asec.ahnlab.com/en/47174/
【関連まとめ記事】
◆全体まとめ
◆マルウェア / Malware (まとめ)
◆ランサムウェア (まとめ)
◆DarkSide (まとめ)
https://malware-log.hatenablog.com/entry/DarkSide