安基网 首页 资讯 安全报 查看内容

Dharma勒索软件创建了一个黑客工具包,让勒索病毒的门槛变得更低

2020-8-14 00:51| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: Dharma勒索软件即服务(RaaS)操作提供了可以为他们做几乎所有事情的工具包,使想要成为网络犯罪分子的人很容易进入勒索软件业务。RaaS操作是一种网络犯罪模型,开发人员负责管理勒索软件开发和勒索付款系统。同时,会员有责任损害受害者并部署勒索软件作为该模型的一部分,开发人员可赚取赎金的30%至 ...

Dharma勒索软件即服务(RaaS)操作提供了可以为他们做几乎所有事情的工具包,使想要成为网络犯罪分子的人很容易进入勒索软件业务。

RaaS操作是一种网络犯罪模型,开发人员负责管理勒索软件开发和勒索付款系统。同时,会员有责任损害受害者并部署勒索软件

作为该模型的一部分,开发人员可赚取赎金的30%至40%,其余则由关联公司支付。

当今,大多数以企业为目标的勒索软件组都以私有RaaS模式运行,仅邀请最有才华的黑客参加。

例如,REvilRaaS要求采访所有潜在的会员并证明他们是经验丰富的黑客。

Dharma勒索软件是当今运行最久的勒索软件系列之一。

从2016年3月左右开始以CrySiS为名,2016年11月在BleepingComputer论坛上的帖子中泄露了主解密密钥。

不久之后,勒索软件的新变体被发布,将.dharma扩展名附加到加密文件中。

从那时起,这个家族及其不断推出的新变种就被称为佛法。

与其他针对大型企业的RaaS运营需要十万至数百万美元的赎金需求不同,Dharma往往处于较低范围,平均需求约为9,000美元。

根据RaaS提供的新工具包,其低廉的价格可能反映了会员所需的较低准入门槛。

Dharma RaaS为黑客提供了现成的工具包

Sophos的新研究可以解释为什么Dharma勒索软件攻击的赎金要求比其他操作低很多;它迎合了一个经验不足的会员。

与许多仅与经验丰富的黑客合作的私有RaaS运营不同,已发现Dharma运营商提供了一种现成的工具包,该工具包允许任何想要黑客的人入侵网络。

该工具包被称为“工具带”,是一个PowerShell脚本,运行时,它使攻击者可以从映射的远程桌面共享“ tsclient e”文件夹中下载并执行各种工具。

使用工具箱时,会员将输入与可以执行的62个任务之一相对应的数字。

输入命令后,该工具包将从远程桌面共享下载必要的可执行文件并执行它们。

该工具包允许会员在Mimikatz等工具的帮助下通过网络横向传播,以收集密码,NirSoft远程桌面PassView窃取RDP密码,Hash Suite工具免费转储哈希值,以及其他工具来查找目标计算机并最终进行部署勒索软件。

获得工具包后,可以确认它要求正确设置附属公司的远程桌面共享并可以访问该命令,才能正确执行命令。

所需的远程共享表明该工具包是RaaS分发的较大软件包的一部分。

对于没有经验的黑客,此工具包包含联盟会员窃取密码,传播到网络上其他计算机并最终部署勒索软件所需的所有程序。

佛法攻击的一种模式

在分析了Dharma攻击的模式之后,Sophos发现一组会员在使用该工具包时通常执行以下步骤:

  • 攻击者启动了toolbelt脚本(toolbelt.ps1 -it 1)
  • 10:,delete-avservices.ps
  • 115:GMER(gamer.exe)
  • 13:安装和启动ProcessHacker:执行processhacker-2.39-setup.exe、执行processhacker.exe
  • 222:javsec.exe(Mimikatz / NL Brute包装器)
  • 34:ipscan2.exe(高级IP扫描程序)
  • 32:mstsc.exe
  • 21:takeaway.exe(勒索软体套件):执行winhost.exe(Dharma)、执行purgememory.ps
  • 133:ns2.exe(网络扫描)

“这些案例与一个Dharma RaaS运算符有关。我们知道有多个Dharma运算符,但是在本研究中使用这些脚本发现的多个实例与一个具有多个子运算符的特定RaaS绑定在一起。”

“我们不知道它们是否都使用相同的工具集,但是我们在许多许多Dharma攻击中都看到了相同的攻击模式,因此我们相信它们至少都可能来自同一原始来源,并且被广泛使用”,Sophos研究员Sean Gallagher。

Sophos还认为RaaS提供了有关使用该工具包通过网络横向传播的文档。

在众多攻击中都采用了类似的方法,该文档可能提供了联盟会员在部署勒索软件时应使用的一组步骤。

通过提供工具包和使用方法文档,佛法可以招募更多潜在的会员。更大的发行商群体使他们能够建立一个广泛的网络,以捕获尽可能多的受害者,而他们在较小的赎金中损失了多少,则弥补了可能更大的付款额。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6860238809141871108/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
天天彩票计划群 上海11选5开奖 极速赛车参考软件 状元彩票计划群 亚洲彩票 极速赛车能不能赚钱 极速赛车登陆 迪士尼彩票计划群 上海快3 上海快3