2019年7月12日

Kaspersky、Windowsの既知の脆弱性を悪用するランサムウェア「Sodin」を発見

既知のWindowsの脆弱性(CVE-2018-8453)を悪用する、暗号化型ランサムウェア「Sodin」は、感染したシステムの特権昇格の脆弱性の悪用や、CPUのアーキテクチャを巧みに利用し検知を回避します。このような機能を持つランサムウェアはまれです。

[本リリースは、2019年7月3日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyのリサーチチームは、既知のWindowsの脆弱性(CVE-2018-8453)※ を悪用する、暗号化型ランサムウェア「Sodin」を発見しました。Sodinは、感染したシステムの特権昇格の脆弱性の悪用や、CPUのアーキテクチャを巧みに利用し検知を回避します。このような機能を持つランサムウェアはまれです。場合によっては、ユーザーの介在無しに、攻撃者が脆弱なサーバーにSodinを仕掛けるケースも観測しています。

データやデバイスを暗号化またはロックし、金銭を要求するランサムウェアは新しい脅威ではなく、これまでも世界中のユーザーやあらゆる規模の組織に影響を与え続けています。既知のランサムウェアや確立されている攻撃経路は、ほとんどのセキュリティソリューションで検知することができます。しかし、Sodinは2018年10月に発見されたWindowsのゼロデイ脆弱性(CVE-2018-8453)を悪用し、権限を昇格させる非常に高度なアプローチをとっています。

Sodinは、RaaS(Ransomware as a Service、サービスとしてのランサムウェア)スキームの1つとみられ、Sodinの配信者側が攻撃手法を自由に選ぶことができます。Sodinはアフィリエイトプログラムを経由して配布されている形跡があります。Sodinの開発者は、アフィリエイトプログラムを利用するSodinの配信者から被害者に送付される復号キーを使わずともファイルを復号できる「マスターキー」機能を持たせていました。これは、マルウェアを無効にして特定の配信者をアフィリエイトプログラムから外すなど、Sodinの開発者が被害者のデータ復号やランサムウェアの配信をコントロールするために使われた可能性があります。

さらに、一般的なランサムウェアの感染は、メールの添付ファイルを開く、悪意のあるリンクをクリックするなど、なんらかの形でユーザー側の操作が必要ですが、Sodinを使用した攻撃ではこのような操作は不要です。攻撃者が脆弱なサーバーを見つけて悪意あるファイルradm.exeをダウンロードさせるコマンドを送るだけで、Sodinがローカルに保存され実行されます。

Sodinの検知をさらに難しくしているのは、「Heaven's Gate」と呼ばれる手法の使用です。この手法を使った悪意あるプログラムは、32ビットプロセスから64ビットコードを実行できますが、これは一般的な方法ではなく、またランサムウェアで使われることはまれです。

SodinでHeaven's Gateの手法が使われた理由は、主に次の2つとみています。

  • 悪意あるコードの解析を困難にするため。すべてのデバッガー(コード検査ツール)がこの手法に対応しているわけではなく、認識できないことがあります。
  • すでにインストール済みのセキュリティソリューションによる検知を回避するため。この手法は、エミュレーションに基づく検知を迂回するために使われます。

カスペルスキー製品が検知したSodinの標的はアジア地域に集中しており、検知の17.6%は台湾、9.8%が香港、8.8%が韓国ですが、欧州や北アメリカとラテンアメリカでも検知しています。感染したPCには、2,500米ドル相当のビットコインを要求する脅迫状が残されていました。

Kasperskyのセキュリティリサーチャー、ヒョードル・シニツィン(Fedor Sinitsyn)は次のように述べています。「ランサムウェアは非常にありふれたマルウェアですが、Sodinのように精巧に作り込まれたものはそう多くありません。検知を回避するためにCPUアーキテクチャを使用するランサムウェアは珍しいものです。このようなマルウェアの作成には膨大なリソースが必要なことから、Sodinの開発に投資した側が大きな見返りを期待していることは間違いなく、Sodinが関連する攻撃の増加を予想しています」

カスペルスキー製品は、Sodinを以下の検知名で検知およびブロックします。
Trojan-Ransom.Win32.Sodin

詳しくは、Securelistブログ「Sodin ransomware exploits Windows vulnerability and processor architecture」(英語)をご覧ください。

※ Microsoft Windowsのゼロデイ脆弱性(CVE-2018-8453)に対応したパッチは、2018年10月9日にリリースされています。Kasperskyのリサーチチームは、このゼロデイ脆弱性を悪用した攻撃にはサイバー犯罪グループ「FruityArmor」が関与しているとみています。