利用反病毒软件开展恶意活动：Dharma勒索软件分析

概述

Dharma勒索软件自2016年以来一直存在，该勒索软件持续瞄准全世界范围内的用户和组织，并已经成功实现了大量感染。在2018年11月，勒索软件感染了位于德克萨斯的一家医院，对医院主机中大量存储的记录进行加密，该事件也随即成为一起知名的勒索病毒攻击事件。但幸运的是，医院没有支付赎金，并且成功恢复了所有被破坏的数据。Trend Micro近期使用一种新型技术，发现了新的Dharma勒索软件样本。该样本使用软件安装来分散用户的注意力，从而帮助隐藏恶意活动。

Dharma勒索软件攻击者滥用反病毒工具

我们对Dharma勒索软件的新样本进行了分析，分析显示，该恶意软件仍然通过恶意邮件实现分发。具体而言，他们使用的是典型的恶意邮件模式，该邮件会诱导用户下载文件，一旦用户点击邮件中附带的下载链接，就会在获取文件之前提示他们输入密码（在电子邮件中提供）。

Dharma勒索软件感染链：

下载的文件是名为Defender.exe的自解压压缩包，在运行该自解压文件后，会投放恶意文件taskhost.exe以及重命名为Defender_nt32_enu.exe的旧版本ESET AV Remover（反病毒软件）的安装程序。经过我们的分析，发现taskhost.exe属于Dharma勒索软件，该恶意软件被检测为RANSOM.WIN32.DHARMA.THDAAAI。中国菜刀

为传播Dharma勒索软件所发送的恶意邮件：

运行自解压的压缩包（Defender.exe）：

其中，旧版本的ESET AV Remover安装程序的初始扫描未经修改。因此，勒索软件在加密受害者设备上的文件的过程中，会利用该反病毒软件来转移用户的注意力。当自解压压缩包运行后，Dharma就开始在后台加密文件，并开始ESET AV Remover的安装。用户在屏幕上将会看到ESET GUI，这样一来更不容易察觉潜在的恶意活动。天空彩

软件安装过程进一步降低了用户察觉勒索软件活动的可能性：

软件安装与恶意软件运行是两个不同的实例：

AV Remover是一个可以使用的工具，用户在运行该工具后，将会完成界面非常熟悉的安装程序。但是，即使安装程序没有启动，勒索软件仍然会加密文件。恶意软件与软件安装是在两个不同的实例上运行，因此二者在是否成功运行方面没有实际关联。

ESET安装程序文件具有一个有效的数字签名，这也有助于我们后续的监测：

ESET的反应

在本次案例中，勒索软件会在我们的Remover应用程序运行后立即执行，但是Remover包含一些提示，需要等待用户进行交互，因此在勒索软件完全执行之前，没有机会移除任何反病毒解决方案。

如何抵御勒索软件

目前，人们已经越来越多地意识到勒索软件的危害，并采用安全厂商为组织和用户提供的增强型安全解决方案，这些都会导致勒索软件感染数量的持续下降。然而，正如新的Dharma样本所证明的那样，许多恶意行为者仍在尝试升级旧威胁，并使用新的技术。勒索软件仍然是一种代价高昂且具有多样化的威胁。在本月的早些时候，一个勒索软件家族被发现针对易受攻击的Samba服务器发动攻击。这种特定的勒索软件首先针对受害者 络中附加的存储设备发起攻击，然后才发展为针对其他设备。

用户和组织应该采用良好的 络安全防护方案，从而抵御此类威胁。我们建议用户和组织遵循以下安全建议：

1. 使用安全的电子邮件 关，阻断垃圾邮件或恶意邮件的威胁，避免打开可疑的电子邮件。

2. 定期备份重要文件。

3. 保证系统和应用程序的更新，针对较旧版本或无法修复的操作系统或软件，使用虚拟补丁。

4. 实施权限最小化原则，对攻击者可能滥用的系统管理工具进行安全加固，实施 络划分和数据分类，以最大限度减少核心数据和敏感数据的进一步暴露，禁用可被攻击者作为突破口的第三方组件或过时组件。

5. 实施深度防御，应用程序控制或行为检测等额外的安全机制，有助于阻止攻击者对系统的异常修改或异常文件执行。

6. 在组织内部培养员工的安全意识。

IoC

Defender.exe

SHA-256：a5de5b0e2a1da6e958955c189db72467ec0f8daaa9f9f5ccc44e71c6c5d8add4

检测：Ransom.Win32.DHARMA.THDAAAI

taskhost.exe1         

SHA-256：703b57adaf02eef74097e5de9d0bbd06fc2c29ea7f92c90d54a0b9a01172babe 

检测：Ransom.Win32.DHARMA.THDAAAI

Defender_nt32_enu.exe1

SHA-256：0d7e4d980ae644438ee17c1ea61ac076983ec3efb3cc9d3b588d2d92e52d7c83

检测：（合法文件）ESET AV remover    

packager.dll

SHA-256：083b92a07beebbd9c7d089648b1949f78929410464578a36713033bbd3a8ecea

检测：（合法文件）                  

panmap.dll  

SHA-256：9ada26a385e8b10f76b7c4f05d591b282bd42e7f429c7bbe7ef0bb0d6499d729

检测：（合法文件）        

sspisrv.dll    

SHA-256：f195983cdf8256f1d1425cc7683f9bf5c624928339ddb4e3da96fdae2657813d

检测：合法文件                        

sstpsvc.dll   

SHA-256：39d3254383e3f49fd3e2dff8212f4b5744d8d5e0a6bb320516c5ee525ad211eb

检测：合法文件