Quick Heal 安全 Labs对Dharma勒索软件爆发的分析

预计阅读时间： 7 分钟

2018年4月25日，Quick Heal 安全 Labs发布了有关新的勒索软件爆发的咨询。我们注意到Dharma 勒索软件突然激增。即使Dharma勒索软件已经过时，我们也观察到了它的新变种，该变种正在加密文件并在其后附加“ .arrow”扩展名。以前，加密文件的扩展名为“ .dharma”。

感染载体

如该通报中所述，连同RDP暴力攻击一样，我们怀疑以下感染媒介中的任何一种均可用于传播勒索软件。

感染载体

根据咨询中的说明，连同RDP暴力攻击一样，我们怀疑以下任何一种感染媒介均可用于传播勒索软件。

1. 垃圾邮件和网络钓鱼电子邮件
2. 漏洞利用套件
3. SMB漏洞，例如（EternalBlue等）
4. 按下载驱动
5. 被其他恶意软件丢弃

因此，在很大程度上，我们会将这些感染媒介分为两类。

• 矢量1–RDP蛮力攻击
• 向量2 –其他可疑手段

让我们详细了解这些感染媒介。

矢量1–RDP蛮力攻击

在此向量中，端口3389上运行的远程桌面协议（RDP）受到典型的暴力攻击。由于暴力，攻击者掌握了受害者的管理用户凭据。一旦获得凭据，他就可以进行任何类型的攻击。在这种情况下，勒索软件被用来感染系统。此外，据观察，在执行勒索软件有效载荷之前，它会卸载系统上安装的安全软件。

我们强烈建议用户通过在快速修复/序列防火墙功能中应用以下提到的防火墙策略来保护自己。

• 拒绝访问重要端口的公共IP（在本例中为RDP端口3389）
• 只允许访问由您控制的IP
• 除了阻止RDP端口，我们还建议您阻止SMB端口445。通常，建议阻止未使用的端口。

获得更多此类安全措施 这里.

矢量2 –其他可疑手段

在这里，感染源未知，但是当我们开始分析攻击链时，它使我们进入了受害者注册表中的一组有趣条目。这些是注册表中HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services下的自动运行PowerShell脚本条目。从而丢弃并执行多个恶意组件。以下是观察到的不同组件。

• 信息工具–它启用RDP并运行粘滞键利用。
• 可执行文件–从APR缓存中获取IP地址列表，并将其发送到CnC服务器。
• ipcheck.exe–它还会找到IP地址列表，然后传递到“ sc.exe”。
• 脚本–这是WannaCry扫描仪工具，可在“ ipcheck.exe”传递的IP地址列表上运行。这给出了易受攻击机器的列表，该列表通过“ ipcheck.exe”发送到CnC服务器。
• 可执行文件–这是主要的有效载荷，即Dharma勒索软件

恶意注册表项

以下是找到的恶意注册表项。

可执行文件

“ 可执行文件”组件主要用于在受害者的计算机上启用远程桌面协议（RDP）。

它伪装成真正的Microsoft Corporations dllhost文件。更多细节如下图所示。

执行后，它将自动复制到“％system32％\ DllHost \ dllhost.exe’

它将其自身注册为下次启动时自动运行的服务，名称为“ COM代理”，如下所示

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ COM代理]

“ImagePath”= C：\ Windows \ system32 \ DllHost \ DllHost

“DisplayName”=”COM Surrogate”

恶意软件执行以下步骤来启用RDP。

添加/修改注册表项：

HKLM \ System \ CurrentControlSet \ Control \ Terminal Server \ fDenyTSConnections = 0

HKLM \ System \ CurrentControlSet \ Control \ Terminal Server \ AllowTSConnections = 0

执行命令：

启用RDP后，它将从其中一个硬编码的用户名列表中创建一个新用户，并随机为其生成一个密码。此外，它为新创建的用户帐户赋予管理特权，并为远程会话启用此帐户。图4显示了用于执行上述活动的命令。

这是用户名的硬编码列表：

它连接到CnC服务器并发送受害者的数据。

发送到CnC的POST参数如下：

位：处理器32/64位
cpun：CPU详细信息
osv：操作系统版本
用户名：创建帐户的用户名
userpass：创建帐户的密码。

The server looks like a server of an infobot hosted at ‘hxxp://92.63.197.52/tundr/info2.php’.

可执行文件/ ipcheck.exeand sc.exe

这两个组件都扫描网络中存在的系统中的漏洞，并将信息发送到上述服务器。

可执行文件/ ipcheck.exe使用以下命令检查ARP缓存中是否存在IP：

输出：

它创建一个管道来保存上述数据。它读取输出并从中提取IP，并将其作为输入提供给sc.exe。

“ sc.exe”是一个漏洞扫描程序，它扫描作为WannaCry漏洞输入提供的IP，并将结果保存到out.txt中。

“ sc.exe”是BiZone的WannaCry扫描仪工具，它是针对MS17-010漏洞的漏洞扫描仪。

命令执行：

对ARP缓存列表中存在的每个IP执行以上命令。

上图中命令的输出保存在工作目录的out.txt中：

然后i.exe / ipcheck.exe解析“ out.txt”以检查ARP缓存IP列表中存在的易受攻击的系统，然后将易受攻击的系统的计数发送到服务器，即 hxxp://92.63.197.52/tundr/infolan.php 如下图所示。

上面是发送到IP的数据，即易受攻击的系统的数量，即9。

可执行文件

The 可执行文件is main payload i.e., Dharma勒索软件。此变体附加了扩展名“。箭头' 到它加密的文件。

执行后，它将使用以下命令禁用Windows’ 维修和备份 使用vssadmin.exe的选项。

C：\ Windows \ system32 \ vssadmin.exe，vssadmin删除阴影/ all / quiet

它使用以下命令，即mode.com，这是Windows的正版进程。

C：\ Windows \ system32 \ mode.com，模式\ con cp select = 1251

执行上述命令后，Dharma勒索软件开始其加密活动。在我们的分析过程中，我们发现勒索软件基本上对PE和Non-PE文件都进行了加密，并且在生成脚本时成功加密的扩展如下。

“ .PNG .PSD .PSP .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL。 APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV .DWG .DXF.GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR。 CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML。 DOC .DOCX .LOG .MSG .ODT .PAGEs .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX .INI .PRF .HQX .MIM .UUE .7Z。 CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML .AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX。 OBJR.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG，.BZ2， .1CD”

如果文件大小大于98304字节，勒索软件将使用加密内容覆盖此文件，否则将创建一个具有加密内容的新文件并删除旧文件。勒索软件使用AES 256算法对所有上述扩展文件进行加密。 AES密钥使用RSA 1024进一步加密。此加密的AES密钥保留在加密文件的末尾。

删除的感染标记文件和加密文件具有以下模式。

在已删除的感染标记文件中，.hta文件带有赎金字样。

佛法赎金

危害指标：

7F37D17FCF507FBE7178882C9FBDE9DE
75C661F9DE5ADDC39951609F4E6817D4
05F62E28BE944C20650CD7A71B23312A
9E34B848FFE0F59EBEDC987695B633C8
70197A207C96188378B0B00833DC1EA1
2C9369AD62175AF8C5B9F993443F4743
551918E2DB5CD8EE29275D5BDA082192
6E35AB370A9AD9398B5E90F16EFAD759
EA0510F17D13DEED333CD785446B5C14
7FA4B675B3413A2606C94B923B8B1E79

hxxp://92.63.197.52/tundr/info2[.]php
hxxp://92.63.197.52/tundr/infolan[.]php
hxxp://cocinaparahombres.com/nutricion/i[.]exe
hxxp://cocinaparahombres.com/nutricion/sc[.]exe
hxxp://cocinaparahombres.com/nutricion/ipcheck[.]exe
hxxp://aloneintheweb.com/assets/info[.]exe
hxxp://www.netdenjd.com/article/inf[.]exe

我们建议用户使用最新的Microsoft更新包并保留其防病毒功能 最新。

主题专家

Prakash Galande，Pandurang Terkar，Dhwanit Shrivastava |快速修复安全实验室