A Sodin egyedi módon rejti el magát a védelmek elől, és a terjesztése is különleges.

Azonosított egy új zsarolóvírust a Kaspersky Lab. A Sodin névre keresztelt ransomware egy tavaly ősszel felfedezett – és javított – nulladik napi Windows-sérülékenységet  (CVE-2018-8453) kihasználva képes magas szintű jogosultságot szerezni a megfertőzött rendszerben. A ransomware-knél ritkán alkalmazott módszerrel, a központi feldolgozó egység architektúráját kihasználva rejti el magát a védelmek elől – írja a kiberbiztonsági cég. Az teszi különösen veszélyessé, hogy bizonyos esetekben felhasználói interakció nélkül képes fertőzni.

A zsarolóvírus 2500 dollárnyi bitcoint követel áldozataitól.

Egy jól szervezett RaaS szolgáltatás is van mögötte

A kutatók arra jutottak, hogy rosszindulatú program ún. RaaS (Ransomware as a Service) szolgáltatás része, ami nagy szabadságot ad a terjesztésben. A kódban több jel utal arra, hogy a terjesztést egy partnerprogramon keresztül valósítják meg. Ilyen jellemző például, hogy van egy olyan kiskapu a ransomware működésében, amelynek segítségével a terjesztő partner tudta nélkül dekódolhatók a fájlok. Ez egy olyan "mesterkulcs", amely nem igényel terjesztői kulcsot a dekódoláshoz (normál esetben a bűnözők fejlesztői kulcsokkal oldják fel a titkosítást a váltságdíjat fizető áldozatok fájljairól).

Ez a funkció kihasználásával a fejlesztők megszerezhetik az irányítást az áldozat adatainak dekódolása vagy a zsarolóvírus terjesztése felett. Például használhatatlanná teszik a rosszindulatú programot, így az adott terjesztőt ki tudják zárni a partnerprogramból.

A Sodin abban is egyedi utat jár, hogy a támadott rendszert a felhasználó aktív közreműködése nélkül is meg tudja fertőzni. Az eddigi támadások többségénél a kiberbűnözők kerestek egy sérülékeny szervert, és parancsot küldtek a radm.exe elnevezésű rosszindulatú fájl letöltésére. Ez aztán lokálisan lementette, majd futtatta a zsarolóvírust. (A zsarolóvírusok többsége akkor aktiválódik, ha a felhasználó megnyit egy levélben kapott preparált csatolmányt, vagy rákattint egy rosszindulatú hivatkozásra.)

Mennyország kapuja

A Sodin azonosítása azért is nehéz, mert alkalmazza az úgynevezett "mennyország kapuja" (Heaven's Gate) technikát. A 2000-es évek közepétől alkalmazott technikának az a lényege, hogy a 64 bites rendszeren lehet futtatni 32 bites futási folyamatban 64 bites kódot is, amit a rendszer 32 bitesként azonosít. Itt is ez történik, a rosszindulatú program 32 bites futtatási folyamatban futtat egy 64 bites kódot, amivel hatékonyabban képes elrejteni magát.

A felismerését az nehezíti, hogy nem minden hibakereső (kódvizsgáló) program támogatja ezt a technikát, így nem is ismeri fel, hogy kártevő kód indult el. De a telepített biztonsági megoldások is kicselezhetők ezzel a módszerrel. Megkerülhetővé teszi ugyanis az emuláció alapú észlelést, vagyis a korábban ismeretlen fenyegetések feltárására használt módszert (ilyenkor a védelmi megoldás egy valódi számítógépet utánzó, azaz emuláló virtuális környezetben indítja el a gyanúsan viselkedő kódot, hogy megfigyelje a viselkedését).

A Kaspersky Lab szerint ritka az ennyire kidolgozott és kifinomult zsarolóvírus. Kifejlesztéséhez valószínűleg jelentős mennyiségű erőforrás kellett, ezért a kutatók a Sodinnal végrehajtott támadások gyakoribbá válásával számolnak.

A Kaspersky védelmi rendszerei Trojan-Ransom.Win32.Sodin néven észlelik a zsarolóvírust. Az eddigi támadások többségét Ázsiában észlelték, főleg Tajvanon (ott történt a regisztrált támadások közel 18 százaléka), Hongkongban (10 százalék) és Dél-Koreában (9 százalék). A terjedésre utal, hogy már Európában, Észak-Amerikában és Latin-Amerikában is azonosították a károkozót.

Biztonság

A Gutenberg-galaxis még az internetnek is ellenáll

Habár a napilapok és egyéb nyomtatott újságok szinte kivétel nélkül szenvednek, ha éppen nem húzták máris le a rolót, a könyvnyomtatás még a webes korszakban is kifizetődő.
 
Nem elég beszélni róla, tenni is kell azért, hogy jövőállóbbak legyenek a vállalatok. Szerencsére ebben rengeteg technológia áll már a rendelkezésre, csak győzzünk válogatni közöttük.

a melléklet támogatója az Invitech

A VISZ éves INFOHajó rendezvényén az agilitás nagyvállalati alkalmazhatósága és tanulhatósága volt az egyik kerekasztal témája. Az ott elhangzottakat gondolta tovább Both András (Idomsoft), a kerekasztal egyik résztvevője.

Ez a nyolc technológia alakítja át a gyártást

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az Oracle átáll a féléves verzió-életciklusra, és megszünteti az ingyenes támogatást üzleti felhasználóknak. Mire kell felkészülni? Dr. Hegedüs Tamás licencelési tanácsadó (IPR-Insights Hungary) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2019 Bitport.hu Média Kft. Minden jog fenntartva.