Dharma勒索病毒從2016年就開始出現,持續地攻擊了全世界的使用者和組織。在2018年11月的一次高調攻擊中,勒索病毒感染一家德州醫院並加密了許多病歷。幸運的是,醫院不用透過支付贖金就能夠回復正常。趨勢科技最近發現一隻新的Dharma勒索病毒使用了新的手法:利用軟體安裝作為幌子來掩飾其惡意活動。
Dharma勒索病毒利用防毒工具
新的Dharma勒索病毒仍是透過典型的垃圾郵件散播,誘騙使用者去下載檔案。如果使用者點入下載連結,會在取得檔案前被要求輸入郵件內所提供的密碼。
圖1. Dharma勒索病毒感染鏈
接著會下載一個自解壓縮檔 – Defender.exe,它會植入惡意檔案taskhost.exe以及舊版的ESET AV Remover安裝程式(被重新命名為Defender_nt32_enu.exe)。趨勢科技將taskhost.exe識別為Dharma勒索病毒相關檔案(偵測為RANSOM.WIN32.DHARMA.THDAAAI)
圖2. Dharma勒索病毒的垃圾郵件
圖3. 執行自解壓縮檔(Defender.exe)
勒索病毒利用這個舊ESET AV Remover安裝程式來轉移使用者的注意力。當自解壓縮檔執行時,Dharma會在背景加密檔案,同時開始安裝ESET AV Remover。使用者會在螢幕上看到ESET畫面來掩飾Dharma的惡意活動。
圖4. 軟體安裝過程掩飾了勒索病毒活動
圖5. 軟體安裝與惡意軟體是不同的執行程序
AV Remover是一種用來進行安裝程序的工具。但即便沒有啟動安裝,勒索病毒仍會加密檔案。惡意軟體與軟體安裝是不同的執行程序,彼此行為並無相關。
該工具是和惡意軟體綁在一起的合法軟體,需要使用者交動才能進行安裝。即使沒有進行安裝也會執行勒索病毒,或即使勒索病毒沒有執行也可以安裝該工具。安裝過程似乎只是為了讓使用者認為沒有惡意活動正在進行。
圖6. ESET安裝檔也具備有效的數位簽章,讓它不會被偵測。
網路犯罪分子一直都在濫用合法工具,最近這起用安裝程式作為幌子或掩飾的作法只是另一次新的嘗試。這新版本設起成會誘騙使用者,好讓勒索病毒在背景秘密地運作。因為惡意軟體作者會持續地利用多層躲避策略及惡意技術,使用者必須用更加強大及智慧化的安全解決方案來保護自己的資產。
ESET已經被通知此項研究並發表以下回應:
本篇文章介紹了惡意軟體結合合法應用程式的常見作法。駭客在趨勢科技所介紹的這起案例中使用了官方未經修改的ESET AV Remover。但駭客也可能利用任何其他的應用程式。是為了分散使用者的注意力而將應用程式作為誘餌使用。ESET威脅工程師已經看到數起在自解壓縮檔內包入乾淨或破解檔案的勒索病毒案例。所以這並非新的手法。
趨勢科技所描述的這起案例裡,勒索病毒會在我們的Remover之後立即執行,但Remover會出現對話框來等待使用者交動,因此在勒索病毒執行完成前並沒有機會移除任何防毒軟體。
如何抵禦勒索病毒?
人們對勒索病毒已經越來越有安全意識,組織和使用者也擁有了更好的解決方案,這些都讓勒索病毒數量持續下降。但正如新Dharma樣本所強調地,駭客們會繼續嘗試升級舊威脅並加上新技術。勒索病毒仍是種帶來巨大損失的多樣化威脅;本月早些時候就出現一種勒索病毒會攻擊有漏洞的Samba伺服器。這隻勒索病毒首先針對受害者的網路儲存設備,接著才發展成為攻擊其他設備。
使用者和組織都應該養成良好的網路安全習慣來對抗Dharma或類似威脅。一些建議的最佳作法包括:
- 防護郵件閘道來阻止垃圾郵件所帶來的威脅,避免開啟可疑郵件。
[延伸閱讀:這些員工沒看穿的騙局,造成的損失可能比病毒還大- 企業常見四種電子郵件威脅] - 定期備份檔案。
[延伸閱讀:企業應該多久應該備份一次?怎樣的備份作法才最有效?] - 保持系統和應用程式更新,利用虛擬修補技術來保護老舊或無法修補的系統及軟體。
- 實施最低權限原則:保護好可能被駭客濫用的系統管理工具;做好網路分段及資料分類來盡量降低重大敏感資料遭到外洩的機會;並且停用可被作為進入點的第三方或過時元件。
- 實施縱深防禦:加上應用程式控制及行為監控等安全層可以阻止對系統的不必要修改或異常檔案執行。
- 培養企業內部的資安文化
入侵指標
| 檔案名稱 | SHA256 | 偵測名稱 |
| Defender.exe | a5de5b0e2a1da6e958955c189db72467ec0f8daaa9f9f5ccc44e71c6c5d8add4 | Ransom.Win32.DHARMA.THDAAAI |
| taskhost.exe1 | 703b57adaf02eef74097e5de9d0bbd06fc2c29ea7f92c90d54a0b9a01172babe | Ransom.Win32.DHARMA.THDAAAI |
| Defender_nt32_enu.exe1 | 0d7e4d980ae644438ee17c1ea61ac076983ec3efb3cc9d3b588d2d92e52d7c83 | normal ESET AV remover |
| packager.dll | 083b92a07beebbd9c7d089648b1949f78929410464578a36713033bbd3a8ecea | normal |
| panmap.dll | 9ada26a385e8b10f76b7c4f05d591b282bd42e7f429c7bbe7ef0bb0d6499d729 | normal |
| sspisrv.dll | f195983cdf8256f1d1425cc7683f9bf5c624928339ddb4e3da96fdae2657813d | normal |
| sstpsvc.dll | 39d3254383e3f49fd3e2dff8212f4b5744d8d5e0a6bb320516c5ee525ad211eb | normal |
@原文出處:Dharma Ransomware Uses AV Tool to Distract from Malicious Activities 作者:Raphael Centeno