金融&IT業界の情報ポータルサイト
 
 


 
【IT業界ニュース】 >> 記事詳細

2019/07/12

【カスペルスキー】Kaspersky、Windowsの既知の脆弱性を悪用するランサムウェア「Sodin」を発見

| by:ウェブ管理者
Kasperskyのリサーチチームは、既知のWindowsの脆弱性(CVE-2018-8453)※ を悪用する、暗号化型ランサムウェア「Sodin」を発見しました。Sodinは、感染したシステムの特権昇格の脆弱性の悪用や、CPUのアーキテクチャを巧みに利用し検知を回避します。このような機能を持つランサムウェアはまれです。場合によっては、ユーザーの介在無しに、攻撃者が脆弱なサーバーにSodinを仕掛けるケースも観測しています。

[本リリースは、2019年7月3日にKasperskyが発表したプレスリリースに基づき作成したものです]

データやデバイスを暗号化またはロックし、金銭を要求するランサムウェアは新しい脅威ではなく、これまでも世界中のユーザーやあらゆる規模の組織に影響を与え続けています。既知のランサムウェアや確立されている攻撃経路は、ほとんどのセキュリティソリューションで検知することができます。しかし、Sodinは2018年10月に発見されたWindowsのゼロデイ脆弱性(CVE-2018-8453)を悪用し、権限を昇格させる非常に高度なアプローチをとっています。

Sodinは、RaaS(Ransomware as a Service、サービスとしてのランサムウェア)スキームの1つとみられ、Sodinの配信者側が攻撃手法を自由に選ぶことができます。Sodinはアフィリエイトプログラムを経由して配布されている形跡があります。Sodinの開発者は、アフィリエイトプログラムを利用するSodinの配信者から被害者に送付される復号キーを使わずともファイルを復号できる「マスターキー」機能を持たせていました。これは、マルウェアを無効にして特定の配信者をアフィリエイトプログラムから外すなど、Sodinの開発者が被害者のデータ復号やランサムウェアの配信をコントロールするために使われた可能性があります。

さらに、一般的なランサムウェアの感染は、メールの添付ファイルを開く、悪意のあるリンクをクリックするなど、なんらかの形でユーザー側の操作が必要ですが、Sodinを使用した攻撃ではこのような操作は不要です。攻撃者が脆弱なサーバーを見つけて悪意あるファイルradm.exeをダウンロードさせるコマンドを送るだけで、Sodinがローカルに保存され実行されます。

Sodinの検知をさらに難しくしているのは、「Heaven's Gate」と呼ばれる手法の使用です。この手法を使った悪意あるプログラムは、32ビットプロセスから64ビットコードを実行できますが、これは一般的な方法ではなく、またランサムウェアで使われることはまれです。


原文はこちら
https://prtimes.jp/main/html/rd/p/000000144.000011471.html

16:04 | IT:一般
 

【免責事項】
サイト掲載情報の正確性、および完全性については最善を尽くしておりますが、その内容を保証するものではございません。また利用者が当サイト、およびサイトに関連するコンテンツ、リンク先サイトにおける一切のサービス等を利用されたことに起因、または関連して生じた一切の損害(間接的、直接的を問わず)について、当社、当サイト、投稿者および情報提供者は一切の責任を負いません。

Copyright © 2010- GoodWay Inc. All rights reserved.