A Sodin egyedi módon rejti el magát a védelmek elől, és a terjesztése is különleges.

Azonosított egy új zsarolóvírust a Kaspersky Lab. A Sodin névre keresztelt ransomware egy tavaly ősszel felfedezett – és javított – nulladik napi Windows-sérülékenységet  (CVE-2018-8453) kihasználva képes magas szintű jogosultságot szerezni a megfertőzött rendszerben. A ransomware-knél ritkán alkalmazott módszerrel, a központi feldolgozó egység architektúráját kihasználva rejti el magát a védelmek elől – írja a kiberbiztonsági cég. Az teszi különösen veszélyessé, hogy bizonyos esetekben felhasználói interakció nélkül képes fertőzni.

A zsarolóvírus 2500 dollárnyi bitcoint követel áldozataitól.

Egy jól szervezett RaaS szolgáltatás is van mögötte

A kutatók arra jutottak, hogy rosszindulatú program ún. RaaS (Ransomware as a Service) szolgáltatás része, ami nagy szabadságot ad a terjesztésben. A kódban több jel utal arra, hogy a terjesztést egy partnerprogramon keresztül valósítják meg. Ilyen jellemző például, hogy van egy olyan kiskapu a ransomware működésében, amelynek segítségével a terjesztő partner tudta nélkül dekódolhatók a fájlok. Ez egy olyan "mesterkulcs", amely nem igényel terjesztői kulcsot a dekódoláshoz (normál esetben a bűnözők fejlesztői kulcsokkal oldják fel a titkosítást a váltságdíjat fizető áldozatok fájljairól).

Ez a funkció kihasználásával a fejlesztők megszerezhetik az irányítást az áldozat adatainak dekódolása vagy a zsarolóvírus terjesztése felett. Például használhatatlanná teszik a rosszindulatú programot, így az adott terjesztőt ki tudják zárni a partnerprogramból.

A Sodin abban is egyedi utat jár, hogy a támadott rendszert a felhasználó aktív közreműködése nélkül is meg tudja fertőzni. Az eddigi támadások többségénél a kiberbűnözők kerestek egy sérülékeny szervert, és parancsot küldtek a radm.exe elnevezésű rosszindulatú fájl letöltésére. Ez aztán lokálisan lementette, majd futtatta a zsarolóvírust. (A zsarolóvírusok többsége akkor aktiválódik, ha a felhasználó megnyit egy levélben kapott preparált csatolmányt, vagy rákattint egy rosszindulatú hivatkozásra.)

Mennyország kapuja

A Sodin azonosítása azért is nehéz, mert alkalmazza az úgynevezett "mennyország kapuja" (Heaven's Gate) technikát. A 2000-es évek közepétől alkalmazott technikának az a lényege, hogy a 64 bites rendszeren lehet futtatni 32 bites futási folyamatban 64 bites kódot is, amit a rendszer 32 bitesként azonosít. Itt is ez történik, a rosszindulatú program 32 bites futtatási folyamatban futtat egy 64 bites kódot, amivel hatékonyabban képes elrejteni magát.

A felismerését az nehezíti, hogy nem minden hibakereső (kódvizsgáló) program támogatja ezt a technikát, így nem is ismeri fel, hogy kártevő kód indult el. De a telepített biztonsági megoldások is kicselezhetők ezzel a módszerrel. Megkerülhetővé teszi ugyanis az emuláció alapú észlelést, vagyis a korábban ismeretlen fenyegetések feltárására használt módszert (ilyenkor a védelmi megoldás egy valódi számítógépet utánzó, azaz emuláló virtuális környezetben indítja el a gyanúsan viselkedő kódot, hogy megfigyelje a viselkedését).

A Kaspersky Lab szerint ritka az ennyire kidolgozott és kifinomult zsarolóvírus. Kifejlesztéséhez valószínűleg jelentős mennyiségű erőforrás kellett, ezért a kutatók a Sodinnal végrehajtott támadások gyakoribbá válásával számolnak.

A Kaspersky védelmi rendszerei Trojan-Ransom.Win32.Sodin néven észlelik a zsarolóvírust. Az eddigi támadások többségét Ázsiában észlelték, főleg Tajvanon (ott történt a regisztrált támadások közel 18 százaléka), Hongkongban (10 százalék) és Dél-Koreában (9 százalék). A terjedésre utal, hogy már Európában, Észak-Amerikában és Latin-Amerikában is azonosították a károkozót.

Biztonság

Teljes szellemmódot ígér McAfee újabb vállalkozása

Az informatika botrányoktól övezett örökifjú fenegyereke ezúttal egy lekövethetetlen mobilnetes szolgáltatással igyekszik megváltani a világot.
 
Már Budapesten is van olyan előadás, amit wifihálózat és mobiltelefon segítségével tettek interaktívvá.

a melléklet támogatója a TP-Link Magyarország

Nem általában a távmunkáé, hanem a mostani tipikus távmunka-helyzeteké. A szervezetek arra nem voltak felkészülve, hogy mindenki otthonról dolgozik.

Alapjaiban kell megújítani a biztonságról kialakított felfogásunkat

Tavaly január végétől megszűnt a Java SE 8 ingyenes frissítése, és a Java SE 11 sem használható ingyenesen üzleti célra. Tanácsok azoknak, akik még nem találtak megoldást. Hegedüs Tamás (IPR-Insights) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2020 Bitport.hu Média Kft. Minden jog fenntartva.