【概要】
■使用マルウェア
| マルウェア名 | 備考 |
|---|---|
| Dharma | |
| ROGER | Dharmaの亜種 |
■攻撃方法
- RDPポート(3389)でリッスンするマシンを探索する(masScan.exeなどのツールを使用)
- 脆弱なターゲットに対して、ブルートフォース攻撃を開始
- NLbrute.exeやForcerX などのツールを使用
- 「admin」、「administrator」、「guest」、「test」などの一般的なユーザー名を狙う
- 侵害したマシンのインターネット接続と処理能力をテスト
- 管理者特権を利用して、検出につながる可能性のある実行中のサービスをオフまたは停止
- wevutil.exeを使用してイベントログをクリア
- ネットワークスキャンツールを使用してラテラルムーブメントを試行
- SYSTEMに特権を昇格
- バッチファイルまたはエクスプロイトを積んだファイルを使用(スティッキーキー」攻撃)
- LSASSプロセスから資格情報をダンプ
- .batまたは.regファイルを使用してRDP接続を許可するレジストリの変更
- 既存のリモートアシスタンスアプリを介したアクセスのセットアップまたはバックドアのインストール
- 新しいローカルアカウントを作成してローカル管理者グループに追加
- コインマイナーをインストールし、massmail.exeを使用してスパムキャンペーンを実行
■使用ツール
【ニュース】
◆Next-Gen Ransomware Packs a ‘Human’ Punch, Microsoft Warns (Threat Post, 2020/03/06 16:50)
https://threatpost.com/next-gen-ransomware-packs-a-human-punch-microsoft-warns/153501/
⇒ https://malware-log.hatenablog.com/entry/2020/03/06/000000_6
◆人間が操作する巧妙なランサムウェアで被害が拡大--マイクロソフトの調査 (ZDNet, 2020/03/10 14:22)
https://japan.zdnet.com/article/35150560/
⇒ https://malware-log.hatenablog.com/entry/2020/03/10/000000
【ブログ】
◆Human-operated ransomware attacks: A preventable disaster (Microsoft, 2020/03/05)
https://www.microsoft.com/security/blog/2020/03/05/human-operated-ransomware-attacks-a-preventable-disaster/
⇒ https://malware-log.hatenablog.com/entry/2020/03/05/000000_5
【関連情報】
◆Dharma (まとめ)
https://malware-log.hatenablog.com/entry/Dharma
◆ROGER (まとめ)
https://malware-log.hatenablog.com/entry/Roger
【関連まとめ記事】
◆サイバー犯罪組織 (まとめ)
https://malware-log.hatenablog.com/entry/Cybercrime
