Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Una analisi dell'infezione Dharma ransomware - Quick Heal Security Labs
- MERCOLEDÌ 2 MAGGIO 2018

Il 25 Aprile abbiamo pubblicato un alert riguardante una nuova campagna di diffusione di un ransomware: avevamo notato infatti una impennata improvvisa delle individuazioni del ransomware Dharma sui pc dei nostri utenti. Il Ransomware Dharma non è affatto nuovo e anzi, la prima versione, distinguibile dall'estensione ".dharma" è perfino risolvibile. Non lo è però la seconda versione in distribuzione, quella attuale, che cripta i file in ".arrow". 

Vettori d'infezione
Oltre ai tentativi di brute-forcing dell'RDP, sospettiamo che Dharma usi anche i seguenti vettori d'infezione:
  • Email di spam e phishing;
  • exploit kit;
  • vulnerabilità del protocollo SMB (come EternalBlue ecc...);
  • attacco "drive-by-download";
  • scaricato da altri malware.
Così, facendo una semplificazione a grandi linee, è possibile affermare che il ransomware Dharma si diffonde tramite due vettori principali:
  • Vettore 1 - Attacchi di brute-force contro le porte RDP
  • Vettore 2 - Altri mezzi sospetti
Vediamoli in dettaglio.

Vettore 1: attacco di brute-force contro l'RDP
In questo caso, il Remote Desktop Protocol (RDP) eseguito sulla porta 3389, viene solitamente bersagliato da un attacco di brute-forcing. Come risultato, l'attaccante riesce ad ottenere, dopo vari tentativi, le credenziali per l'accesso all'account Admin. Una volta ottenute l'attaccante ottiene quindi la capacità, dati i privilegi di amministrazione ottenuti, di eseguire qualsiasi tipo di attacco. In questo caso si installa appunto il ransomware Dharma. Abbiamo però notato che nel corso di questo attacco, l'attaccante si premura anche di disinstallare i software di sicurezza installati sul sistema, poi procede all'installazione del ransomware, così da essere sicuro di avere la strada spianata. 

Come proteggersi?
Consigliamo caldamente ai nostri utenti di applicare le seguenti policy firewall nell'apposita funzione "Firewall" di Quick Heal. 
  •  Nega l'accesso a IP pubblici su porte importanti (in questo caso la porta RDP 3389).
  • Concedi l'accesso solo a IP che sono sotto il tuo controllo.
  • Oltre al blocco della porta RDP ti consigliamo il blocco della porta SMB 445. Il consiglio, in generale, è di bloccare tutte le porte non in uso.
Ulteriori consigli e misure di sicurezza qui

Vettore 2: altri mezzi sospetti
In questo secondo caso non conoscevamo la fonte di infezione, ma, una volta iniziato lo studio della catena di infezione, abbiamo subito notato interessanti voci aggiunte al registro della vittima. Stiamo parlando di voci di registro aggiunte sotto

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services,

che stanno alla base della copia e dell'esecuzione di una molteplicità di componenti dannose.  Sotto l'elenco delle voci di registro dannose aggiunte dagli attaccanti:



- Inf.exe: viene usato principalmente per abilitare il Remote Desktop Protocol sulla macchina della vittima. Si finge un file dllhost genuino di Microsoft Corporation.


Una volta esegito, copia se stesso in %system32%\DllHost\dllhost.exe’. Si registra quindi come un servizio di autorun al prossimo riavvio, col nome "COM Surrogate", come mostrato sotto:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\COM Surrogate].

Una volta abilitato l'RDP crea un nuovo utente nominato con un username contenuto in una lista contenuta nel codice stesso del malware, generando quindi una password random per lo stesso. Garantisce quindi i privilegi di amministrazione al nuovo account e lo abilita per le sessioni remote. 

Fatto questo invia al server C&C i dati della vittima, ad esempio:


bits: processore 32/64 bit
cpun: dettagli della CPU
osv: versione del Sistema Operativo
username: l'username del nuovo account
userpass: la password del nuovo account. 

- i.exe /ipcheck.exe e sc.exe: tutte queste componenti eseguono scansioni in cerca di vulnerabilità nel sistema e nella rete, quindi inviano le relative informazioni al server su menzionato. 

- i.exe /ipcheck.exe: cercano gli IP presenti nella cache ARP (Address Resolution Protocol). Ne producono una lista di IP, inviata anch'essa al server C&C. 

- sc.exe : è il tool di scansione del famoso ransomware WannaCry, che viene eseguito sulla lista di indirizzi IP di cui sopra. Si ottiene così una lista di macchine vulnerabili che viene, anch'essa, inviata al server C&C.


 
- rc.exe : questo è il payload principale, in questo caso il ransomware Dharma. Una volta eseguito, usa il seguente comando per disavilitare le opzioni di Ripristino e backup tramite vssadmin.exe

C:\Windows\system32\vssadmin.exe, vssadmin delete shadows /all /quiet

Fatta questa operazione, questa variante cripta i file e ne modifica l'estensione in .arrow.. Sotto è possibile vedere esempi di file criptati. 

La nota di riscatto
Viene rilasciata al termine della criptazione con le indicazioni utili per contattare gli attaccanti e ottenere le istruzioni per pagare il riscatto. 


Stiamo monitorando la campagna, tutt'ora in corso, di diffusione del ransomware Dharma e
stiamo rilasciando aggiornamenti in maniera regolare.
Raccomandiamo di applicare gli ultimi update di Microsoft
e di tenere aggiornato il vostro antivirus. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

MARTEDÌ 23 LUGLIO 2019
Hacking della Webcam: come impedire la violazione della tua privacy?
Immagina, un giorno, di aprire la posta in arriva e trovare una email che contiene tue immagini private o intime. Sotto le immagini, lampeggia una richiesta di riscatto "...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login