Trend Micro Security

HackTool.Win64.LDAPDomainDump.A

2023年7月31日
 解析者: Ricardo III Valdez   
 別名:

Python/Riskware.LdapDump.A (NOD32)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: ハッキングツール
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 13,857,421 bytes
タイプ EXE
メモリ常駐 なし
発見日 2023年7月30日

侵入方法

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

その他

プログラムは、以下を実行します。

  • It is a domain information dumper via LDAP.
  • It is capable of dumping users/computers/groups and OS/membership information to HTML/JSON/greppable output.

マルウェアは、以下のパラメータを受け取ります。

  • Usage:
    • {Malware Filename}.exe [-h] [-u USERNAME] [-p PASSWORD] [-at {NTLM,SIMPLE}] [-o DIRECTORY] [--no-html] [--no-json] [--no-grep] [--grouped-json] [-d DELIMITER] [-r] [-n DNS_SERVER] [-m] HOSTNAME
  • Required Options:
    • HOSTNAME, specifies the hostname/IP or ldap://host:port connection string to connect to (Use ldaps:// to use SSL)
  • Main Options:
    • -h, --help, Displays a help message and exits
    • -u {USERNAME}, --user {USERNAME}, Specifies the DOMAIN\username for authentication, leave empty for anonymous authentication
    • -p {PASSWORD}, --password {PASSWORD}, Specifies the password or LM:NTLM hash; will prompt if not specified.
    • -at {NTLM,SIMPLE}, --authtype {NTLM,SIMPLE}, Specifies the authentication type to use (NTLM or SIMPLE, Default: NTLM)
  • Output Options:
    • -o {DIRECTORY}, --outdir {DIRECTORY}, Specifies the directory in which the dump will be saved (Default: current directory)
    • --no-html, Disables HTML output
    • --no-json, Disables JSON output
    • --no-grep, Disables Greppable output
    • --grouped-json, Also write JSON files for grouped files (Default: disabled)
    • -d {DELIMITER}, --delimiter {DELIMITER}, Specifies the field delimiter for greppable output (Default: tab)
  • Misc Options:
    • -r, --resolve, Resolves computer hostnames (Might take a while and cause high traffic on large networks)
    • -n {DNS_SERVER}, --dns-server {DNS_SERVER}, Use custom DNS resolver instead of system DNS (Try a domain controller IP)
    • -m, --minimal, Only query minimal set of attributes to limit memory usage

  対応方法

対応検索エンジン: 9.800
SSAPI パターンバージョン: 2.645.00
SSAPI パターンリリース日: 2023年8月3日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「HackTool.Win64.LDAPDomainDump.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください