Qilin.BはRaaSの新しいバイナリです。
RaaSはRansomware as a Serviceです。
名前からも感じられるように、Qilin.BはQilinの亜種です。
どういったものなのでしょうか。
- 変更された暗号化手法
Qilin.Bはランサムウェアですので、感染したシステムを暗号化してしまいます。
その暗号化の方法が変更されています。
メインの暗号化部分はAES-256-CTRまたはChacha20です。
そして、暗号化キーを保護するのにOAEPパディング付きのRSA-4096が使用されます。
このため、攻撃者の知る秘密キーとシード値がないと暗号化されたファイルを復号化できません。 - 難読化
マルウェアの作成にはRustが使用されています。
Rustは、性能、メモリ安全性、安全な並行性を目指して設計されたマルチパラダイムのプログラミング言語です。
そして、言語に組み込まれた高度ないくつもの難読化手法が利用されます。
これにより研究者の解析を難しくします。 - プロセスとサービスの終了
このマルウェアは動作時にセキュリティ、バックアップ、仮想化に関連するサービスを終了または無効にします。 - バックアップの無効化
Qilin.Bは、ボリューム シャドウ コピーを削除します。 - ログの削除
このマルウェアは動作時にPowerShellコマンドでWindowsイベントログをクリアします。 - 自動消滅
暗号化と脅迫文の設置が終わると、Qilin.B自身が消えてなくなります。
消えてしまえばもう解析はできません。
QilinのRaaSは2022年頃から活動しています。
いまもその内容を変化させながら継続されています。
前述の特徴のいくつかはWindowsを対象にした機能となっていますが、Qilinのターゲット環境は、WindowsシステムとLinuxシステムの両方となっています。
文字通りのLinuxということではなくシステム構造としての話ですので、ESXiなどのLinuxをベースとしたシステムも対象となってしまいます。
こういったマルウェアは動作を開始されてしまうと非常に厄介です。
入口となる事項をいかに少ない状態で運用できるかにかかっている感じがします。
New Qilin.B Ransomware Variant Boasts Enhanced Encryption and Defense Evasion
https://www.halcyon.ai/blog/new-qilin-b-ransomware-variant-boasts-enhanced-encryption-and-defense-evasion
| この記事をシェア |
|
|---|
一緒によく読まれている記事
-
サイバー領域
- ソースコードに書き込まれた大量のシークレット事案(インシデント)について調査、優先順位付け、修復を行う
- この記事は、アプリケーション・セキュリティチームを対象に、ソースコードに書き込まれたシークレット事案(インシデント)の優先順位付け、調査、修復を効果的かつ大規模に実践する方法につ...
-
サイバー領域
- GitGuardian レポート 「The state of Secrets Sprawl 2023」公開/日本語翻訳版はテリロジーワークスが作成
- GitHub等から流出した機密情報をリアルタイムで検知するサービス「GitGuardian Public Monitoring」を提供するGitGuardian社より、昨年に引き...