Trend Micro Security

HackTool.PS1.SHARPHOUND.G

2024年5月14日
 解析者: Leidryn Saludez   
 別名:

PowerShell/RiskWare.BloodHound.F application (NOD32)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: ハッキングツール
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 1,662,249 bytes
タイプ PS1
メモリ常駐 なし
発見日 2024年4月19日

侵入方法

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

その他

プログラムは、以下を実行します。

  • It accepts the following commands and actions:
    • -c, --collectionmethods → Container, Group, LocalGroup, GPOLocalGroup, Session, LoggedOn, ObjectProps, ACL, ComputerOnly, Trusts, Default, RDP, DCOM, DCOnly, UserRights, CARegistry, DCRegistry, CertServices
    • -d, --domain → Specify domain to enumerate
    • -s, --searchforest → Search all available domains in the forest
    • --stealth → Stealth Collection
    • -f → Add an LDAP filter to the pregenerated filter
    • --distinguishedname → Base DistinguishedName to start the LDAP search
    • --computerfile → Path to file containing computer names to enumerate
    • --outputdirectory → Directory to output file
    • --outputprefix → String to prepend to output file names
    • --cachename → Filename for cache (Defaults to a machine specific identifier)
    • --memcache → Keep cache in memory and don't write to disk
    • --rebuildcache → Rebuild cache and remove all entries
    • --randomfilenames → Use random filenames for output
    • --zipfilename → Filename for the zip
    • --nozip → Don't zip files
    • --trackcomputercalls → Adds a CSV tracking requests to computers
    • --zippassword → Password protects the zip with the specified password
    • --prettyprint → Pretty print JSON
    • --ldapusername → Username for LDAP
    • --ldappassword → Password for LDAP
    • --domaincontroller → Override domain controller to pull LDAP
    • --ldapport → Override port for LDAP
    • --secureldap → Connect to LDAP SSL instead of regular LDAP
    • --disablecertverification → Disable certificate verification for secure LDAP
    • --disablesigning → Disables Kerberos Signing/Sealing
    • --skipportcheck → Skip checking if 445 is open
    • --portchecktimeout → Timeout for port checks in milliseconds
    • --skippasswordcheck → Skip PwdLastSet age check when checking computers
    • --excludedcs → Exclude domain controllers from session/localgroup enumeration
    • --throttle → Add a delay after computer requests in milliseconds
    • --jitter → Add jitter to throttle
    • --threads → Number of threads to run enumeration with
    • --skipregistryloggedon → Skip registry session enumeration
    • --overrideusername → Override the username to filter for NetSessionEnum
    • --realdnsname → Override DNS suffix for API calls
    • --collectallproperties → Collect all LDAP properties from objects
    • -l, --Loop → Loop computer collection
    • --loopduration → Loop duration
    • --loopinterval → Add delay between loops
    • --statusinterval → Interval in which to display status in milliseconds
    • --localadminsessionenum → Specify if to use a dedicated LOCAL user for session enumeration
    • --localadminusername → Specify the username of the localadmin for session enumeration
    • --localadminpassword → Specify the password of the localadmin for session enumeration
    • -v → Enable verbose output
    • --help → Display help screen
    • --version → Display version information

  対応方法

対応検索エンジン: 9.800
SSAPI パターンバージョン: 2.721.00
SSAPI パターンリリース日: 2024年4月19日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「HackTool.PS1.SHARPHOUND.G」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください