‫ سوءاستفاده‌ی باج‌افزار SODIN از يک نقص افزايش دسترسی ويندوز

به تازگی #‫باج‌_افزار جدیدی به نام #‫SodinoKibi ( Sodin یا REvil) کشف شده است که از آسیب‌پذیری روزصفرم ویندوز با شناسه‌ی CVE-2018-8453 به‌منظور افرایش دسترسی سوءاستفاده می‌کند تا در میزبان‌های آلوده به امتیاز مدیریتی دست یابد.
این آسیب‌‌پذیری در به‌روزرسانی‌های امنیتی ماه اکتبر سال 2018 مایکروسافت وصله شده است. کسپرسکی همان آسیب‌پذیری را در باج‌افزار sodin کشف کرده‌اند که به گفته‌ی آنها، به ندرت چنین آسیب‌پذیری در باج‌افزار استفاده می‌شود.
در حال حاضر این باج‌افزار در سراسر جهان در حال گسترش است و عمده‌ی آلودگی‌های آن در منطقه آسیا و اقیانوس آرام مشاهده شده است، به ویژه در تایوان (17.56%)، هنگ‌کنگ و کره‌جنوبی (8.78%). کشورهای دیگری که Sodinokibi در آن‌ها شناسایی شده‌ است عبارتند از ژاپن (8.05%)، ایتالیا (5.12%)، اسپانیا (4.88%)، ویتنام (2.93%)، ایالات‌متحده امریکا (2.44%) و مالزی (2.2%).
با آمدن باج‌افزار Sodin، باج‌افزار GandCrab تمامی فعالیت‌های خود را در ماه گذشته متوقف ساخته است. GandCrab فعال‌ترین باج‌افزار تاکنون بوده است .
محققان یک تجزیه و تحلیل فنی از فرایند افزایش امتیاز که به این تهدید اجازه می‌دهد به امتیاز سیستمی دست یابد را منتشر ساخته‌اند. Sodin به‌منظور افزایش امتیاز از یک آسیب‌پذیری روزصفرم در win32k.sys سوءاستفاده می‌کند. بدنه‌ی هر نمونه Sodin شامل یک قطعه‌ پیکربندی رمزنگاری‌‌شده است که تنظیمات و داده‌‌های استفاده‌شده توسط بدافزار را ذخیره می‌سازد. پس از راه‌اندازی، Sodin قطعه‌ی پیکربندی را بررسی می‌کند که آیا گزینه‌ای که سوءاستفاده را به کار می‌گیرد فعال است یا نه. اگر فعال باشد، Sodin معماری پردازنده‌ای که اجرا می‌کند را بررسی می‌کند و سپس یکی از دو shellcode گنجانده‌شده در بدنه‌ی این تروجان را بسته به معماری پردازنده، اجرا می‌کند. این shellcode تلاش می‌کند یک سری خاص از توابع WinAPI با آرگومان‌های ساختگی مخرب را به‌منظور راه‌اندازی آسیب‌پذیری فراخوانی کند. بدین ترتیب، این تروجان به بالاترین سطح دسترسی در سیستم دست می‌یابد. در اینجا هدف این است که راه‌حل‌های امنیتی نتوانند به راحتی این بدافزار را شناسایی کنند.
Sodin یک طرح ترکیبی را برای رمزگذاری داده‌ها پیاده‌سازی می‌کند. این طرح از یک الگوریتم متقارن برای رمزگذاری فایل‌ها و رمزگذاری نامتقارن منحنی بیضوی برای حفاظت از کلید استفاده می‌کند.
کلید خصوصی نیز با یک کلید عمومی دومی که در بدافزار گنجانده شده است رمزگذاری و نتیجه در رجیستری ذخیره می‌شود.
پس از رمزگذاری فایل‌ها، sodinokibi یک افزونه‌ی تصادفی که برای هر رایانه‌ای که آلوده کرده است متفاوت است را ضمیمه می‌کند.
کد مخرب Sodin فایل‌های تنظیمات صفحه‌کلید مخصوص کشورهای خاصی از جمله روسیه، اوکراین، بلاروس، تاجیکستان، ارمنستان، آذربایجان، گرجستان، قزاقستان، قرقیزستان، ترکمنستان، مالدیو، ازبکستان و سوریه را رمزگذاری نخواهد کرد.