Sodinokibi Ransomware利用Windows Bug来提升权限
2019-07-05 10:08:02 【

Sodinokibi勒索软件希望通过利用Windows 7到10和Server版本中存在的Win32k组件中的漏洞来增加其在受害计算机上的权限。


4月开始利用Oracle WebLogic中的关键漏洞时,文件加密恶意软件成为人们关注的焦点。


全球传播

Sodinokibi,a.k.a.REvil也利用CVE-2018-8453,安全研究人员发现,卡巴斯基发现并报告了一个漏洞,微软于2018年10月修补了该漏洞。




卡巴斯基使用Sodin这个名称来指代这种勒索软件和遥测数据显示全球小区域的检测,其中大部分记录在亚太地区:台湾(17.56%),香港和韩国(8.78%))。


检测到Sodinokibi的其他国家是日本(8.05%),德国(8.05%),意大利(5.12%),西班牙(4.88%),越南(2.93),美国(2.44%)和马来西亚(2.20%)。



在周三的技术分析中,卡巴斯基详细介绍了恶意软件如何实现SYSTEM权限并描述其运行方式。


“在每个Sodin示例的主体中以加密形式存储的是一个配置块,其中包含特洛伊木马工作所需的设置和数据。”




配置代码包括公钥的字段,活动和分发者的ID号,覆盖数据,不应加密的文件扩展名,应该杀死的进程名称,命令和控制服务器地址,勒索注释模板和 一个用于使用漏洞获取机器上的更高权限。


私钥的两个单独加密

卡巴斯基分析的Sodinokibi样本使用混合方案来加密数据,这意味着它对文件应用对称加密(Salsa20),对密钥应用椭圆曲线非对称加密。


研究人员发现,勒索软件在注册表中存储了加密数据的公钥和用于解密文件的私钥。


“启动时,特洛伊木马生成一对新的椭圆曲线会话密钥;该对的公钥以名称pk_key保存在注册表中,而私钥使用ECIES算法使用sub_key密钥加密并存储在 名称为sk_key的注册表。“


研究人员注意到的一个特点是私钥也用第二个公钥加密,该公钥在恶意软件中编码; 结果也保存在注册表中。


恶意软件作者可能是故意这样做的,因此他们也可以解密数据,而不仅仅是传播Sodinokibi的运营商。 如果经销商消失,或者是获得更大利润的方法,这可能是一种预防措施。




加密文件后,Sodinokibi会为它感染的每台计算机附加一个不同的随机扩展名。 密钥和扩展都需要在网络犯罪分子设置的网站上输入,专门用于向受害者展示他们为了获取文件需要支付多少费用。


恶意软件区分目标并在具有特定国家特定键盘布局的计算机上终止:俄罗斯,乌克兰,白俄罗斯,塔吉克斯坦,亚美尼亚,阿塞拜疆,格鲁吉亚,哈萨克斯坦,吉尔吉斯斯坦,土库曼斯坦,摩尔多瓦,乌兹别克斯坦和叙利亚。



】【打印关闭】 【返回顶部
上一篇TA505垃圾邮件活动中使用的新后门.. 下一篇sqlmap从执行到判断注入,到底发..