概述

Dharma勒索软件自2016年以来一直存在，该勒索软件持续瞄准全世界范围内的用户和组织，并已经成功实现了大量感染。在2018年11月，勒索软件感染了位于德克萨斯的一家医院，对医院主机中大量存储的记录进行加密，该事件也随即成为一起知名的勒索病毒攻击事件。但幸运的是，医院没有支付赎金，并且成功恢复了所有被破坏的数据。Trend Micro近期使用一种新型技术，发现了新的Dharma勒索软件样本。该样本使用软件安装来分散用户的注意力，从而帮助隐藏恶意活动。

Dharma勒索软件攻击者滥用反病毒工具

我们对Dharma勒索软件的新样本进行了分析，分析显示，该恶意软件仍然通过恶意邮件实现分发。具体而言，他们使用的是典型的恶意邮件模式，该邮件会诱导用户下载文件，一旦用户点击邮件中附带的下载链接，就会在获取文件之前提示他们输入密码（在电子邮件中提供）。

Dharma勒索软件感染链：

下载的文件是名为Defender.exe的自解压压缩包，在运行该自解压文件后，会投放恶意文件taskhost.exe以及重命名为Defender_nt32_enu.exe的旧版本ESET AV Remover（反病毒软件）的安装程序。经过我们的分析，发现taskhost.exe属于Dharma勒索软件，该恶意软件被检测为RANSOM.WIN32.DHARMA.THDAAAI。中国菜刀

为传播Dharma勒索软件所发送的恶意邮件：

运行自解压的压缩包（Defender.exe）：

其中，旧版本的ESET AV Remover安装程序的初始扫描未经修改。因此，勒索软件在加密受害者设备上的文件的过程中，会利用该反病毒软件来转移用户的注意力。当自解压压缩包运行后，Dharma就开始在后台加密文件，并开始ESET AV Remover的安装。用户在屏幕上将会看到ESET GUI，这样一来更不容易察觉潜在的恶意活动。天空彩

软件安装过程进一步降低了用户察觉勒索软件活动的可能性：

软件安装与恶意软件运行是两个不同的实例：

AV Remover是一个可以使用的工具，用户在运行该工具后，将会完成界面非常熟悉的安装程序。但是，即使安装程序没有启动，勒索软件仍然会加密文件。恶意软件与软件安装是在两个不同的实例上运行，因此二者在是否成功运行方面没有实际关联。

ESET安装程序文件具有一个有效的数字签名，这也有助于我们后续的监测：

回顾历史，网络犯罪分析也曾经滥用过真实的工具。但最近，借助安装程序弹出的合法界面来转移用户的注意力，是网络犯罪分子正在尝试的另一种方法。这个新版本的恶意软件，旨在欺骗用户，并允许勒索软件在后台秘密操作。由于恶意软件作者持续采用分层逃避检测的策略和一些高级的恶意技术，因此用户还需要使用更强大、更智能的安全解决方案来保护其资产。

ESET的反应

ESET在本文发布之前，获悉了此项研究结果，并发表了如下回复：

本篇文章介绍了将恶意软件与合法应用程序捆绑在一起的做法，这一方法此前也被大量使用过。在Trend Micro本次发现的案例中，使用了官方的、未经修改的ESET AV Remover。但是，任何其他应用程序都有可能被恶意软件作者所利用。这个应用程序被用作诱饵应用程序，其主要目的是分散用户的注意力。ESET的威胁检测工程师已经发现，一些相关的勒索软件样本，与合法文件或被篡改/解密/破解的文件共同压缩在同一个自解压的压缩包之中。

在本次案例中，勒索软件会在我们的Remover应用程序运行后立即执行，但是Remover包含一些提示，需要等待用户进行交互，因此在勒索软件完全执行之前，没有机会移除任何反病毒解决方案。

如何抵御勒索软件

目前，人们已经越来越多地意识到勒索软件的危害，并采用安全厂商为组织和用户提供的增强型安全解决方案，这些都会导致勒索软件感染数量的持续下降。然而，正如新的Dharma样本所证明的那样，许多恶意行为者仍在尝试升级旧威胁，并使用新的技术。勒索软件仍然是一种代价高昂且具有多样化的威胁。在本月的早些时候，一个勒索软件家族被发现针对易受攻击的Samba服务器发动攻击。这种特定的勒索软件首先针对受害者网络中附加的存储设备发起攻击，然后才发展为针对其他设备。

用户和组织应该采用良好的网络安全防护方案，从而抵御此类威胁。我们建议用户和组织遵循以下安全建议：

1. 使用安全的电子邮件网关，阻断垃圾邮件或恶意邮件的威胁，避免打开可疑的电子邮件。

2. 定期备份重要文件。

3. 保证系统和应用程序的更新，针对较旧版本或无法修复的操作系统或软件，使用虚拟补丁。

4. 实施权限最小化原则，对攻击者可能滥用的系统管理工具进行安全加固，实施网络划分和数据分类，以最大限度减少核心数据和敏感数据的进一步暴露，禁用可被攻击者作为突破口的第三方组件或过时组件。

5. 实施深度防御，应用程序控制或行为检测等额外的安全机制，有助于阻止攻击者对系统的异常修改或异常文件执行。

6. 在组织内部培养员工的安全意识。

IoC

Defender.exe

SHA-256：a5de5b0e2a1da6e958955c189db72467ec0f8daaa9f9f5ccc44e71c6c5d8add4

检测：Ransom.Win32.DHARMA.THDAAAI

taskhost.exe1         

SHA-256：703b57adaf02eef74097e5de9d0bbd06fc2c29ea7f92c90d54a0b9a01172babe

检测：Ransom.Win32.DHARMA.THDAAAI

Defender_nt32_enu.exe1

SHA-256：0d7e4d980ae644438ee17c1ea61ac076983ec3efb3cc9d3b588d2d92e52d7c83

检测：（合法文件）ESET AV remover

packager.dll

SHA-256：083b92a07beebbd9c7d089648b1949f78929410464578a36713033bbd3a8ecea

检测：（合法文件）

panmap.dll  

SHA-256：9ada26a385e8b10f76b7c4f05d591b282bd42e7f429c7bbe7ef0bb0d6499d729

检测：（合法文件）

sspisrv.dll    

SHA-256：f195983cdf8256f1d1425cc7683f9bf5c624928339ddb4e3da96fdae2657813d

检测：合法文件

sstpsvc.dll   

SHA-256：39d3254383e3f49fd3e2dff8212f4b5744d8d5e0a6bb320516c5ee525ad211eb

检测：合法文件

利用反病毒软件开展恶意活动：Dharma勒索软件分析相关推荐

1. Dharma勒索软件继续大肆传播，据称已有100多家希腊网站沦陷

   在过去的几个月里,有新闻报道称,一家颇受欢迎的啤酒厂遭到了勒索软件的***,而与此同时,一个主要的海港也遭遇了同样的问题,导致进出港口的船只受到影响.调查显示,这两起案件的罪魁祸首都是Dharma(也 ...

2. 公司CEO，利用恶意邮件部署勒索软件

   外媒报道,一名尼日利亚初创公司的首席执行官(CEO)试图招募"内部人员"部署勒索软件,以获取赎金为公司注入资金. 报道称该公司CEO受到勒索软件团伙启发,试图用100万美元作为酬金 ...

3. Android端恶意锁屏勒索应用分析

   一.前言 5月12日,一场全球性互联网灾难悄然而至,一款名为WannaCRY的PC端恶意勒索软件利用NSA泄漏的危险漏洞"永恒之蓝",给100多个国家和地区10万台电脑造成了巨大的 ...

4. 网站攻击软件_佳能遭严重勒索软件攻击，10TB的数据被窃取，大量服务宕机

   佳能遭严重勒索软件攻击,10TB的数据被窃取,大量服务宕机 Garmin 遭勒索攻击的风波未平,近日,佳能又遭受了勒索软件攻击,攻击除了让佳能的一些网站宕机外,据说还导致佳能服务器中高达 10TB 的 ...

5. 黑客利用Apache Struts 2漏洞在服务器上传递Cerberus勒索软件

   前一阵,我们对Apache Strust 2的CVE-2017-5638漏洞进行了预警,最近F5实验室的研究人员发现Apache Struts 2 漏洞被网络罪犯用于传递Cerber勒索软件. 实际上 ...

6. 注意！恶意NPM包正在安装勒索软件和密码窃取木马

    聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 两个伪装成 Roblox 库的恶意NPM包正在用户机器上传播勒索软件和密码窃取木马.这两个包是 "noblox.js-proxy&qu ...

7. 新型勒索软件Phobos利用弱安全性***目标

   一个多产活跃的网络犯罪团伙在发动一系列勒索软件***的同时,传播了一种可以加密文件的新型恶意软件,这种软件结合了两种知名的破坏性强的变体,与勒索***一起被传向全世界发挥作用. 新型恶意软件被其创建者 ...

8. 新型勒索软件Phobos利用弱安全性攻击目标

   一个多产活跃的网络犯罪团伙在发动一系列勒索软件攻击的同时,传播了一种可以加密文件的新型恶意软件,这种软件结合了两种知名的破坏性强的变体,与勒索攻击一起被传向全世界发挥作用. 新型恶意软件被其创建者称为 ...

9. 解读全球最严重的5起勒索软件攻击

   本文讲的是解读全球最严重的5起勒索软件攻击, 在最近几年间,说起令人厌烦的软件攻击类型,勒索软件已经成为不容忽视的一种存在了. 所谓勒索软件其实就是一种恶意软件,可以感染设备.网络与数据中心并使其瘫痪 ...

最新文章

1. 微服务架构·基础篇，傻瓜看了都会
2. python爬虫天气预报难不难_python爬虫可以用来看天气预报吗？
3. 湖南科技大学计算机控制技术,湖南科技大学控制理论与控制工程专业
4. [Jarvis OJ - PWN]——[XMAN]level2
5. Android开发之下载Apk安装的方法兼容Android7.0和8.0及以上
6. gradle打包java项目_gradle打包java项目
7. kafka是什么_Kafka的Controller Broker是什么
8. 从0到1入门：7天玩转IoT物联网实战营丨IoT喊你加入学习之旅！
9. MVC Razor基础
10. vue 富文本编辑器 Editor 使用
11. 千氪公开课第一期|如何实现写作收益的最大化？-千氪
12. [转]FTP搜索引擎的设计与实现 1
13. 东田纳西州立大学计算机排名,东田纳西州立大学如何
14. 描述性统计部分（一）----统计量
15. Url重写问题？？？？
16. JEPF项目初上手，一把辛酸泪
17. 菜鸟窝-仿京东淘宝项目学习笔记（二）ToolBar的基本使用
18. 智云通CRM：做销售一定要慎说六种话，不然快成交的订单也会跑？
19. QML+cmake 下取消打印 QML debugging is enabled.Only use this in a safe environment.
20. python计算复杂公式_复杂指标计算公式

热门文章

1. 一起来学java！！！ day003 流程控制01 你掉了金斧头还是银斧头？
2. 达州市中学高考2021成绩查询,2020达州高考成绩揭晓，恭喜恭喜！另附成绩统计表...
3. python微信投票该用户被锁定、恢复时间_因投票微信账号出现异常被封禁7天的解封方法讲解...
4. 利用SUMIF和OFFSET+MATCH进行多条件求和
5. c++的复制省略（copy elision）
6. 本地计算机无法设置共享文件夹,共享服务,详细教您win10共享文件夹无法访问怎么办...
7. 总结：大学实验室的教授喜欢什么样的本科实习学生
8. 对接商汤摄像头详细步骤
9. 软件编程c语言5级,全国青少年软件编程等级考试标准(c语言1级-10级)-20190927.pdf...
10. C++ 求圆的周长和面积