Sodinokibi勒索软件利用Windows Bug提升权限

Sodinokibi勒索软件正试图通过利用Windows7到10以及服务器版本上的win32k组件中的漏洞来提高其在受害者计算机上的权限。

4月份,加密恶意软件的文件开始利用OracleWebLogic中的一个关键漏洞而备受关注。

全球范围

安全研究人员发现,Sodinokibi,A.K.A.Revil,也利用了CVE-2018-8453,一个由Kaspersky发现并报告的漏洞,微软在2018年10月修补了这个漏洞。

卡巴斯基使用SODIN的名字来引用这一应变勒索和遥测数据显示全球范围内的小范围的检测,其中大部分记录在亚太地区:台湾(17.56%)、香港和韩国(8.78%)。

检测到索迪诺基比的其他国家包括日本(8.05%)、德国(8.05%)、意大利(5.12%)、西班牙(4.88%)、越南(2.93)、美国(2.44%)和马来西亚(2.20%)。

在周三的技术分析中,Kaspersky详细描述了恶意软件是如何实现系统特权的,并描述了它是如何工作的。

“以加密形式存储在每个sodin示例的主体中的是一个配置块,其中包含特洛伊木马运行所需的设置和数据。”

配置代码包括公钥字段、活动和分发服务器的ID号、覆盖数据字段、不应加密的文件扩展名、应终止的进程名称、命令和控制服务器地址字段、勒索说明模板字段以及使用exp的字段。在机器上获得更高的特权。

两个单独的私钥加密

Kaspersky分析的sodinokibi样本使用混合方案加密数据,这意味着它对文件采用对称加密(salsa20),对密钥采用椭圆曲线非对称加密。

研究人员发现,勒索软件存储在注册表中,既有用于加密数据的公钥,也有用于解密文件的私钥。

启动时,特洛伊木马程序生成一对新的椭圆曲线会话密钥;此对的公钥以pk_密钥的名称保存在注册表中,而私钥则使用ecies算法与子_密钥加密,并以sk_密钥的名称存储在注册表中。

研究人员注意到的一个特点是,私钥也用另一个公钥加密,该公钥编码在恶意软件中;结果也保存在注册表中。

恶意软件作者可能是故意这样做的,所以他们也可以解密数据,而不仅仅是传播sodinokibi的操作员。这可能是一个预防措施,如果分销商消失,或一种方法,以获得更大的利润削减。

加密文件后,sodinokibi会附加一个随机扩展名,该扩展名对于它感染的每台计算机都是不同的。密钥和扩展名都需要输入到由网络罪犯专门为受害者设置的一个网站上,以显示他们需要支付多少钱才能取回他们的文件。

该恶意软件区分目标和终止于特定国家的键盘布局的计算机:俄罗斯、乌克兰、白俄罗斯、塔吉克斯坦、亚美尼亚、阿塞拜疆、格鲁吉亚、哈萨克斯坦、吉尔吉斯斯坦、土库曼斯坦、摩尔多瓦、乌兹别克斯坦和叙利亚。

 

原文链接:

https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-exploits-windows-bug-to-elevate-privileges/

发表评论