カスペルスキー、Windowsの既知の脆弱性を悪用するランサムウェア「Sodin」を発見
- 2019/07/17 10:30
- SecurityInsight
カスペルスキーは7月12日、同社のリサーチチームが、既知のWindowsの脆弱性を悪用する、暗号化型ランサムウェア「Sodin」を発見したことを発表した。Sodinは、感染したシステムの特権昇格の脆弱性の悪用や、CPUのアーキテクチャを巧みに利用して検知を回避。このような機能を持つランサムウェアはまれで、場合によってはユーザーの介在なしに、攻撃者が脆弱なサーバーにSodinを仕掛けるケースも観測しているという。カスペルスキーが発表したSodinの概要は以下のとおり。
SodinはRaaSスキームの一つとみられ、Sodinの配信者側が攻撃手法を自由に選ぶことができる。Sodinはアフィリエイトプログラムを経由して配布されている形跡がある。Sodinの開発者は、アフィリエイトプログラムを利用するSodinの配信者から被害者に送付される復号キーを使わずともファイルを復号できる「マスターキー」機能を持たせていた。これは、マルウェアを無効にして特定の配信者をアフィリエイトプログラムから外すなど、Sodinの開発者が被害者のデータ復号やランサムウェアの配信をコントロールするために使われた可能性がある。
さらに、一般的なランサムウェアの感染は、メールの添付ファイルを開く、悪意のあるリンクをクリックするなど、なんらかの形でユーザー側の操作が必要だが、Sodinを使用した攻撃ではこのような操作は不要。攻撃者が脆弱なサーバーを見つけて悪意あるファイルradm.exeをダウンロードさせるコマンドを送るだけで、Sodinがローカルに保存され実行される。
Sodinの検知をさらに難しくしているのは、「Heaven's Gate」と呼ばれる手法の使用。この手法を使った悪意あるプログラムは、32ビットプロセスから64ビットコードを実行できるが、これは一般的な方法ではなく、またランサムウェアで使われることはまれ。
SodinでHeaven's Gateの手法が使われた理由は、主に次の2つとカスペルスキーではみている。
・悪意あるコードの解析を困難にするため。すべてのデバッガー(コード検査ツール)がこの手法に対応しているわけではなく、認識できないことがある。
・すでにインストール済みのセキュリティソリューションによる検知を回避するため。この手法は、エミュレーションに基づく検知を迂回するために使われる。
カスペルスキー製品が検知したSodinの標的はアジア地域に集中しており、検知の17.6%は台湾、9.8%が香港、8.8%が韓国だが、欧州や北アメリカとラテンアメリカでも検知している。感染したPCには、2,500米ドル相当のビットコインを要求する脅迫状が残されていた。
Kasperskyのリサーチチームは、このゼロデイ脆弱性を悪用した攻撃にはサイバー犯罪グループ「FruityArmor」が関与しているとみているという。