あるセキュリティ研究者が、人気の とマルウェアに関する重要な欠陥を発見しました。この状況は、それらの作成者が潜在的な被害者に侵入するアプローチを完全に再考することにつながる可能性があります。
現在、最も活発なランサムウェア ベースのグループには、Conti、REvil、Black Basta、LockBit、AvosLocker などがあります。しかし、 Bleeping Computer が報告した ように、これらのサイバーギャングが開発したマルウェアには重大なセキュリティ脆弱性があることが判明しました。
これらの欠陥は、前述のグループにとって有害な暴露となる可能性が非常に高いです。最終的に、そのようなセキュリティ ホールは、ランサムウェアの大部分が作成される目的を阻止するために標的にされる可能性があります。システム内に含まれるファイルの暗号化。
マルウェア脆弱性研究を専門とするセキュリティ研究者 hyp3rlinx は、主要なランサムウェア グループに属するマルウェア株を調査しました。興味深いことに、同氏は、サンプルがダイナミック リンク ライブラリ (DLL) ハイジャックにさらされていたと述べました。これは、悪意のあるコードを介してプログラムを標的とする、攻撃者自身が伝統的に使用してきた手法です。
「DLL ハイジャックは Windows システムでのみ機能し、アプリケーションが必要なダイナミック リンク ライブラリ (DLL) ファイルを検索してメモリにロードする方法を悪用します」と Bleeping Computer は説明します。 「チェックが不十分なプログラムは、ディレクトリ外のパスから DLL をロードし、権限を昇格させたり、不要なコードを実行したりする可能性があります。」
hyp3rlinx によって検査されたランサムウェア サンプルに関連するエクスプロイト (すべて Conti、REvil、LockBit、Black Basta、LockiLocker、AvosLocker から派生したもの) は、本質的に「マルウェアの事前暗号化を制御して終了する」ことができるコードを許可します。
これらの欠陥の発見により、hyp3rlinx は DLL にアセンブルされるエクスプロイト コードを設計することができました。ここから、そのコードには特定の名前が割り当てられ、それによって悪意のあるコードがそれ自体を検出するように効果的に騙されます。最後のプロセスでは、データの暗号化プロセスを開始するために、上記のコードをロードします。
都合の良いことに、このセキュリティ研究者は、DLL ハイジャックの脆弱性を (ランサムウェア グループ REvil によって) 利用して、マルウェア攻撃が始まる前に阻止する方法を示す ビデオをアップロードしました 。
これらのエクスプロイトの発見の重要性
Bleeping Computer で強調されているように、ランサムウェアの標的となるコンピュータの典型的な領域は、機密データが保存されているネットワーク上の場所です。したがって、hyp3rlinx は、DLL を特定のフォルダーに配置することによって DLL エクスプロイトが読み込まれた後、理論的にはランサムウェア プロセスが損害を与える前に停止されるべきであると主張します。
マルウェアはセキュリティ緩和プロセスを回避することができますが、hyp3rlinx は、悪意のあるコードは DLL に直面するとまったく効果がないと強調します。
とはいえ、研究者の調査の結果、ランサムウェアやマルウェア攻撃の防止、または少なくともその影響を軽減する長期的な変化がもたらされるかどうかは、まったく別の問題です。
「サンプルが新しい場合、特に公共の場に出た場合、ランサムウェア集団はすぐにバグを修正するため、エクスプロイトは短期間しか機能しない可能性が高い」とブリーピング・コンピューターは述べた。 「たとえこれらの調査結果がしばらく有効であることが証明されたとしても、ランサムウェアギャングの標的となった企業は依然として重要なファイルが盗まれ、漏洩するリスクにさらされています。被害者に身代金の支払いを迫るための流出がこの脅威アクターの手口の一部だからです。」 」
それでも、サイバーセキュリティウェブサイトは、hyp3rlinxのエクスプロイトは「少なくとも重大な損害を引き起こす可能性のある運用上の混乱を防ぐのに役立つ可能性がある」と付け加えた。
そのため、近い将来、ランサムウェア グループによってパッチが適用される可能性は高いですが、これらのエクスプロイトを発見することは、危険なコードの開発と配布に影響を与えるための心強い第一歩となります。また、攻撃を防ぐためのより高度な軽減方法が必要になる可能性もあります。
ランサムウェア グループは、一般的なハッカーで構成されているわけではありません。効果的なマルウェアを作成して拡散することは、それ自体が高度な作業であり、攻撃が成功した場合に得られる金銭的利益は、加害者に 数億ドルを生み出す 可能性があります。不正に得られた利益のかなりの部分は、無実の個人から搾取されています。