DHARMA (CRYSIS) ランサムウェア

ransomware-2321665_1920

はじめに

Dharma と言うランサムウェアはCrysisとしても知られ、最初の出現は2016年、TCPポート3389番経由でリモートデスクトッププロトコル(RDP)サービスをエクスプロイトすることでマニュアルでデリバリーされ、その後標的とするコンピュータにブルートフォース攻撃でアクセスを獲得します。
Dharmaランサムウェアに関わる攻撃は、頻繁で、ロシア、日本、中国、インドなど、数多くの国々の中小規模の組織を標的にすると記録されています。
Dharmaランサムウェアの変異型に対しての復号プログラムはなく、平均身代金要求額は5000ドル、ランサムウェアのノートに書かれているEメールアドレス経由で支払うことができます。

手口

1. 初期アクセス

脅威アクターは通常、リモートデスクトッププロトコル(RDP)サービスをTCPポート3389番経由でエクスプロイトしてDharmaを配布し、コンピュータへのアクセスを得るためにブルートフォースでパスワードを探し当てます。スパムメールの悪意ある添付としての配布やAVベンダーなど正規ソフトウェアのインストールファイルを装ったものとして記録されている事例もあります。悪意ある添付として配布された場合、Dharmaは2重ファイル拡張子を使い、デフォルトのWindowsの設定の下では非実行に見えるようになっていました。そのため、被害者は非実行であるから、悪意あるものではないと考えて、クリックしてしまうという手口です。

2. インストール

Dharmaに埋め込まれたトロイの木馬ドロッパーが実行されるとすぐに、2つのファイル、ns.exe(ネットワーク一覧とスキャンのためのツール)とprocesshacker.exe(システム管理者用ツール)がインストールされます。ns.exeはネットワークの共有、開いているポート、ネットワーク内を移動するのに使うことのできるサービスをスキャンするのに使われます。processhacker.exe はウィルス対策ソフトやその他のセキュリティサービスを無効化するのに使われます。その後、Dharma実行ファイルが、「winhost.exe」と言う名前で投下され、システムに存在し続けられるようレジストリエントリを作成し、そこまでしたら、 DharmaはWindowsシャドウコピーを、vssadmin.exe を実行することですべて削除します。Windowsのバージョンの中には、Dharmaが管理者特権を使って自らを実行することを試み、暗号化できるファイルのさらに長いリストを探し出すことも観察されています。
Dharmaは、感染したドメインコントローラ経由でDefault Domain Policyをネットワーク全体に広げ、このポリシーが適用されることで起動する各マシン上で「winhost.exe 」を実行して行きます。

3. 暗号化

Dharmaは固定、リムーバブルおよびネットワークドライブの中のファイルを、AES-256とRSA-1024非対称暗号化アルゴリズムを組み合わせて使うことで暗号化します。

コマンド&コントロール

ドロッパーが感染したマシンや暗号化されたファイルの情報を送信する可能性があります。