TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

トップ > Ransomware: DarkSide > DarkSide Ransomware With Self-Propagating Feature in AD Environments

DarkSide Ransomware With Self-Propagating Feature in AD Environments

Ransomware: DarkSide *マルウェア種別: ランサムウェア / Ransomware 技術: Active Directory

【訳】

AD環境での自己増殖機能を持つDarkSideランサムウェアについて


【図表】


図1.ランサムウェアの動作方法 ランサムウェアの動作方法

図2. 元のコマンドライン

図3. 変更されるコマンドライン引数

図4 変更後のコマンドライン 変更されたコマンドライン引数

図5 実際に実行されたコマンドライン 表5から異常なプロセス実行を検出するAhnLab EDR

図6. メモリに書き込まれた実行とデータを検出するAhnLab MDS

図 7. ランサムノート

図8 自己削除コマンド 自己削除コマンドを検知しているAhnLab MDS

図9. 自己削除コマンドを検知したAhnLab EDR

図10 ドメインコントローラーを介したランサムウェアの配布方法 ドメインコントローラーを介したランサムウェアの配布方法

図11 ランサムウェアを検知するグループポリシー グループポリシーで生成されたランサムウェアの実行を検知するAhnLab EDR

図12. PowerShellを用いたグループポリシーの配布を検知するAhnLab EDR

図13. VirusTotalで発見されなかったDarkSideランサムウェア

図 14. AhnLab MDSで検出されたDarkSideランサムウェア

図15.AhnLab MDSで検出されたDarkSideランサムウェア AhnLab EDRで検出されたDarkSideランサムウェア
出典: https://asec.ahnlab.com/en/47174/


【ブログ】

◆DarkSide Ransomware With Self-Propagating Feature in AD Environments (Ahnlab, 2023/02/06)
[AD環境で自己増殖する機能を持つDarkSideランサムウェア]
https://asec.ahnlab.com/en/47174/


【関連まとめ記事】

全体まとめ
 ◆マルウェア / Malware (まとめ)
  ◆ランサムウェア (まとめ)

◆DarkSide (まとめ)
https://malware-log.hatenablog.com/entry/DarkSide

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023