Ransomware

LockBit 2.0 ランサムウェア、履歴書に偽装して継続的に拡散中

ASEC 分析チームは過去に何度も紹介した Lockbit 2.0 ランサムウェアが、以前紹介した方法の NSIS 形態ではなく MalPE 形態で拡散していることを確認した。MalPE 形態は、実際のマルウェアの解析を妨害するパック方式の一部であり、内部のシェルコードを通して PE ファイルを復号化して実行する。…

AD 環境で伝播機能を含んだ DarkSide (ダークサイド)ランサムウェア

DarkSide (ダークサイド)ランサムウェアは解析およびサンドボックス検知を回避するために、Loader とデータファイルが両方あることで初めて動作する。「msupdate64.exe」名のローダーは(同じパスに存在する)ランサムウェアをエンコード状態でしている「config.ini」データファイルを読み込み、正常なプロセスのメモリ上でランサムウェアを実行する。実行すると、特定の引数値を合わせて動作する構造であり、タスクスケジューラに登録されて周期的に動作するように構成されている。 [図1] ランサムウェアの動作方式 ダークサイドランサムウェアの機能は以下の通りである。 1) ランサムウェアの暗号化対象除外リスト 正常なプロセスにインジェクションされたランサムウェアは、特定のフォルダーおよびファイル名を除くすべてのファイルを暗号化する。以下の[表1]、[表2]は暗号化除外と関係するファイルパスおよびファイル名である。 暗号化除外フォルダーパス “AppData” “Boot”…