Qilin.BはRaaSの新しいバイナリです。
RaaSはRansomware as a Serviceです。
名前からも感じられるように、Qilin.BはQilinの亜種です。
どういったものなのでしょうか。
- 変更された暗号化手法
Qilin.Bはランサムウェアですので、感染したシステムを暗号化してしまいます。
その暗号化の方法が変更されています。
メインの暗号化部分はAES-256-CTRまたはChacha20です。
そして、暗号化キーを保護するのにOAEPパディング付きのRSA-4096が使用されます。
このため、攻撃者の知る秘密キーとシード値がないと暗号化されたファイルを復号化できません。 - 難読化
マルウェアの作成にはRustが使用されています。
Rustは、性能、メモリ安全性、安全な並行性を目指して設計されたマルチパラダイムのプログラミング言語です。
そして、言語に組み込まれた高度ないくつもの難読化手法が利用されます。
これにより研究者の解析を難しくします。 - プロセスとサービスの終了
このマルウェアは動作時にセキュリティ、バックアップ、仮想化に関連するサービスを終了または無効にします。 - バックアップの無効化
Qilin.Bは、ボリューム シャドウ コピーを削除します。 - ログの削除
このマルウェアは動作時にPowerShellコマンドでWindowsイベントログをクリアします。 - 自動消滅
暗号化と脅迫文の設置が終わると、Qilin.B自身が消えてなくなります。
消えてしまえばもう解析はできません。
QilinのRaaSは2022年頃から活動しています。
いまもその内容を変化させながら継続されています。
前述の特徴のいくつかはWindowsを対象にした機能となっていますが、Qilinのターゲット環境は、WindowsシステムとLinuxシステムの両方となっています。
文字通りのLinuxということではなくシステム構造としての話ですので、ESXiなどのLinuxをベースとしたシステムも対象となってしまいます。
こういったマルウェアは動作を開始されてしまうと非常に厄介です。
入口となる事項をいかに少ない状態で運用できるかにかかっている感じがします。
New Qilin.B Ransomware Variant Boasts Enhanced Encryption and Defense Evasion
https://www.halcyon.ai/blog/new-qilin-b-ransomware-variant-boasts-enhanced-encryption-and-defense-evasion
| この記事をシェア |
|
|---|
