Sodin” 的新型勒索軟件無需用戶點擊釣魚鏈接

俄羅斯卡巴斯基實驗室的研究人員表示，他們發現了一名為 “Sodin” 的新型勒索軟件，利用了去年 8 月他們向微軟報告的 Windows 漏洞 (編號：CVE-2018-8453)，展現了一系列不同尋常的技術。

Sodin 利用 win32k.sys 在受感染的系統中提升權限，并利用中央處理器 (CPU) 的架構來避免檢測——這種功能以及以下下文介紹的其他特性在勒索軟件中并不常見。 Sodin 勒索軟件不需要受害者點擊釣魚鏈接。 相反，它的開發人員/用戶通常會找到一個易受攻擊的服務器，并發送命令下載一個名為 “radm.exe” 的惡意文件。這個 Windows 漏洞于 2018 年 10 月 10 日被修復。對于那些沒有給系統安裝補丁的人來說，勒索軟件的出現再次提醒了他們，無論遇到了什么挑戰，都應該優先更新補丁。 該惡意軟件比通常更難檢測到，是因為它使用了 “Heaven’s Gate”（天堂之門）技術，使其能在 32 位運行進程中執行 64 位的代碼。

由 32 位和 64 位指令構成的 shellcode Sodin 還通過混合方案來加密受害者文件（文件內容使用 Salsa20 對稱流算法加密，密鑰則通過非對稱橢圓曲線算法加密）。 Sodin勒索軟件是RaaS計劃的一部分 卡巴斯基表示，這個惡意軟件似乎是 RaaS（勒索軟件即服務）計劃的一部分。 奇怪的是不管配置如何，私人會話密鑰也是通過另一個硬編碼到木馬體中的公鑰進行加密的。我們把它稱為公共萬能鑰匙。加密結果存儲在注冊表中的 0_key 名下。事實證明，即使沒有 sub_key 的私鑰，知道公共萬能鑰匙對應的私鑰的人能夠解密受害者的文件。看起來木馬程序的開發者在算法中制造了一個漏洞，能夠使他們在不被供應商察覺的情況下解密文件。 該公司的一位發言人解釋道：有跡象表明，惡意軟件是在一個聯盟內部分發傳播的。比如惡意軟件的開發人員在惡意軟件上留下了一個漏洞，能夠使他們在不被聯盟成員察覺的情況下解密文件：一個不需要供應商的密鑰進行解密的 “萬能鑰匙”（通常供應商的密鑰會用于解密受害者的文件，是支付贖金的對象）。 這個功能可能被開發者用來在受害者不知情的情況下，控制被解密的數據，以及勒索軟件的傳播。例如，通過惡意軟件將聯盟內部的某些供應商剔除。 Sodin 勒索軟件的大多數目標都在亞洲地區：尤其是臺灣、香港和韓國。然而，在歐洲、北美和拉丁美洲也發現了攻擊事件。勒索軟件在受到感染的個人電腦上留下了便箋，要求每位受害者提供價值 2500 美元的比特幣。 研究人員認為，Sodin 使用了 Heaven’s Gate 技術來繞過仿真檢測。仿真網絡入侵檢測系統旨在通過臨時創建與樣本交互的對象，然后分析交互行為來檢測網絡流量中的 shellcode，這有點像一個超輕量級的沙箱。 來源：安全牛