「脆弱性で暗号化処理を中断されてしまうマルウェア」というとなんだか間違っている感じがしますか?
でもこの文章は正しいです。
脆弱性で暗号化処理が中断されてしまうマルウェアが確認されています。
いまどきのマルウェアは利用者の誤操作を誘う方法のほかに、脆弱性を悪用して利用者の意図しない処理を開始するものが多くあります。
でも今回は逆方向です。
マルウェアに存在する脆弱性を使って、暗号化処理を実施させるかどうかを利用者側が制御できる方法が確認されています。
マルウェアが実施する活動の処理内容はマルウェアの中に実装されている部分とそうでない部分があります。
マルウェアのなかに実装されていない部分はマルウェアが読み込むDLLのなかの機構を利用して動作したりします。
たとえば、Conti、復活したREvil、Black Basta、LockBit、AvosLockerなどの使っているマルウェアでは暗号化処理の部分はマルウェアそのものに実装されているのではなく、マルウェアが読み込むDLLのなかに実装されています。
研究者はこれらのマルウェアにDLLハイジャックができる脆弱性を確認しました。
マルウェア開発者が配布したDLLの代わりに利用者側が配置したDLLを読み込ませてしまうことで、マルウェアが暗号化処理を実施しようとした際に利用者側が配置したDLLのなかにある暗号化用機構が動作するようにするのです。
これにより、利用者側はこれらのマルウェアによる暗号化の実施を回避することができます。
これは根本的な対策にはなりません。
マルウェアの脆弱性が修正されてしまえば暗号化の回避はできなくなります。
また暗号化が回避できたからといって、重要なファイルの取得を回避できるわけではありませんし、その他の悪事を阻止できるわけでもありません。
これまでは防御側だけが脆弱性に対策することを必要とされていた感じがします。
しかしこれからは防御側も攻撃側の作ったものの脆弱性を利用することを狙うことになるのかもしれません。
このニュースは大きな転機になるかもしれません。
参考記事(外部リンク):Conti, REvil, LockBit ransomware bugs exploited to block encryption
www.bleepingcomputer.com/news/security/conti-revil-lockbit-ransomware-bugs-exploited-to-block-encryption/
この記事をシェア |
---|