A mennyország kapuja

2019.07.06. 18:35

Kattintás nélkül terjedő zsarolóvírust azonosítottak

Egyes esetekben a rosszindulatú program még felhasználói interakciót sem igényel, a támadók egyszerűen csak elhelyezik a sérülékeny szervereken.

Kép: Shutterstock

Forrás: Shutterstock

Új titkosító zsarolóvírust azonosítottak a Kaspersky szakemberei. A Sodin névre keresztelt kártevő egy közelmúltban felfedezett nulladik-napi Windows-sérülékenység kiaknázásával szerez magas szintű jogosultságot a megfertőzött rendszerben, leleplezését pedig a központi feldolgozó egység (CPU) architektúráját kihasználva kerüli el – ez utóbbi egy olyan funkció, amelyet nemigen látni zsarolóvírusoknál.

A zsarolóvírus, azaz az adatok vagy az eszközök pénzköveteléssel kísért titkosítása vagy zárolása tartós kiberfenyegetés, amely

a magánszemélyeket és a szervezeteket egyaránt érinti világszerte.

A biztonsági megoldások zöme észleli a jól ismert verziókat és a már ismert támadási vektorokat. A kifinomult módszerek – mint például a Windows egy nemrégiben felfedezett nulladik-napi sérülékenységét kiaknázva jogosultságokat eszkaláló Sodin – azonban

képesek lehetnek arra, hogy egy ideig ne keltsenek gyanút.

A rosszindulatú program a jelek szerint a RAAS (zsarolóvírus mint szolgáltatás) konstrukció része, ami azt jelenti, hogy terjesztői szabadon választhatják meg a titkosító vírus terjesztésének módját. Bizonyos jelek arra utalnak, hogy a rosszindulatú program terjesztése egy partnerprogramon keresztül történik.

A rosszindulatú program fejlesztői például egy olyan kiskaput hagytak a program működésében, amelynek segítségével a partnerek tudta nélkül dekódolhatják a fájlokat: egy „mesterkulcsot”, amely nem igényel terjesztői kulcsot a dekódoláshoz (normál esetben a fejlesztői kulcsokkal oldják fel a titkosítást a váltságdíjat kifizető áldozatok fájljairól).

E funkció kihasználásával a fejlesztők megszerezhetik az irányítást az áldozat adatainak dekódolása vagy a zsarolóvírus terjesztése felett, például úgy, hogy a rosszindulatú program használhatatlanná tételével kizárnak bizonyos terjesztőket a partnerprogramból.

Nehéz kivédeni

Emellett a zsarolóvírusok általában valamilyen felhasználói interakciót igényelnek, például egy e-mailben kapott csatolmány megnyitását vagy egy rosszindulatú hivatkozásra való kattintást. A Sodint használó támadóknak nem volt szükségük ilyenfajta segítségre: általában kerestek egy sérülékeny szervert, és parancsot küldtek a „radm.exe” elnevezésű rosszindulatú fájl letöltésére. Ez aztán lokálisan lementette, majd futtatta a zsarolóvírust.

Ami még nehezebbé teszi a Sodin felfedezését, az

az úgynevezett „mennyország kapuja” technika alkalmazása.

Ennek segítségével a rosszindulatú program 32 bites futtatási folyamatban futtat egy 64 bites kódot, ami nem általános gyakorlat, és nem gyakran fordul elő a zsarolóvírusoknál.

A Kaspersky biztonsági megoldásai Trojan-Ransom.Win32.Sodin néven észlelik a zsarolóvírust.

Borítókép: Shutterstock

Ezek is érdekelhetik

Hírlevél feliratkozás
Ne maradjon le a szoljon.hu legfontosabb híreiről! Adja meg a nevét és az e-mail-címét, és mi naponta elküldjük Önnek a legfontosabb híreinket!