2020年04月15日 08時00分 公開
特集/連載

全ての防御機能を無効化できる、カーネルモードで動作するランサムウェア民衆の敵になったRobbinHood

正当なベリサイン署名されたドライバを媒介してWindowsに入り込むランサムウェア「RobbinHood」。カーネルモードで動くためセキュリティ製品も無効化できる。

[Alex Scroxton,Computer Weekly]
iStock.com/vchal

 Sophosが、新種のランサムウェア攻撃に関する調査結果を公開した。この攻撃は正当なデジタル署名が施されたハードウェアドライバをサイバー犯罪者が展開し、ユーザーデータを暗号化する前に標的のシステムからセキュリティ製品を削除する。

 ランサムウェア「RobbinHood」(訳注)は、古い脆弱(ぜいじゃく)性であるCVE-2018-19320を悪用する。台湾企業GIGA-BYTE Technology(GIGABYTE)が製造し、現在は非推奨になっているドライバにこの脆弱性が存在する。このドライバは、失効していない有効なVerisign Authenticode署名を含んでいる。製造は中止されているが、依然数多く使用されている。

訳注:イングランドの伝説上の人物であるロビン・フッドは「Robin Hood」。

 この信頼済みかつ署名済みのGIGABYTEドライバが媒介として使われ、Windowsカーネルにパッチを適用し、悪意のある未署名のドライバを読み込み、カーネルモードから防護用のセキュリティアプリケーションを削除する。

 Sophosの研究者によると、このような攻撃が見られたのは初めてだという。ランサムウェアがセキュリティ製品の回避を試みる手口は新しくないが、ユーザーモードではなくカーネルモードからプロセスを強制終了するのは明らかに有利だ。

 重要なのは、悪意のあるドライバには強制終了するコードしか含まれていないことだ。つまり、




続きを読むには、[続きを読む]ボタンを押して
ください(PDFをダウンロードします)。






ITmedia マーケティング新着記事

news139.jpg

「TikTok For Business」誕生 中小企業支援やクリエイターとのマッチングで新展開も
TikTokでブランドの声を広げるための新しいプラットフォーム「TikTok For Business」が誕...

news066.jpg

「鬼滅」「あつ森」「恋つづ」他 10代男女が選ぶ2020年上半期流行ったもの――Simejiランキング
おなじみの「Simejiランキング」では、新型コロナウイルスやステイホームに影響を受けた...

news148.jpg

コロナ禍で「たすけあいの意識」が高まったと回答した人が66.9%――こくみん共済 coop調査
コロナ禍の意外な効用? 人と人との「たすけあい」の気持ちが強くなっているという調査...