ه تازگی #باج_افزار جدیدی به نام #SodinoKibi ( Sodin یا REvil) کشف شده است که از آسیبپذیری روزصفرم ویندوز با شناسهی CVE-2018-8453 بهمنظور افرایش دسترسی سوءاستفاده میکند تا در میزبانهای آلوده به امتیاز مدیریتی دست یابد.
این آسیبپذیری در بهروزرسانیهای امنیتی ماه اکتبر سال 2018 مایکروسافت وصله شده است. کسپرسکی همان آسیبپذیری را در باجافزار sodin کشف کردهاند که به گفتهی آنها، به ندرت چنین آسیبپذیری در باجافزار استفاده میشود.
در حال حاضر این باجافزار در سراسر جهان در حال گسترش است و عمدهی آلودگیهای آن در منطقه آسیا و اقیانوس آرام مشاهده شده است، به ویژه در تایوان (17.56%)، هنگکنگ و کرهجنوبی (8.78%). کشورهای دیگری که Sodinokibi در آنها شناسایی شده است عبارتند از ژاپن (8.05%)، ایتالیا (5.12%)، اسپانیا (4.88%)، ویتنام (2.93%)، ایالاتمتحده امریکا (2.44%) و مالزی (2.2%).
با آمدن باجافزار Sodin، باجافزار GandCrab تمامی فعالیتهای خود را در ماه گذشته متوقف ساخته است. GandCrab فعالترین باجافزار تاکنون بوده است .
محققان یک تجزیه و تحلیل فنی از فرایند افزایش امتیاز که به این تهدید اجازه میدهد به امتیاز سیستمی دست یابد را منتشر ساختهاند. Sodin بهمنظور افزایش امتیاز از یک آسیبپذیری روزصفرم در win32k.sys سوءاستفاده میکند. بدنهی هر نمونه Sodin شامل یک قطعه پیکربندی رمزنگاریشده است که تنظیمات و دادههای استفادهشده توسط بدافزار را ذخیره میسازد. پس از راهاندازی، Sodin قطعهی پیکربندی را بررسی میکند که آیا گزینهای که سوءاستفاده را به کار میگیرد فعال است یا نه. اگر فعال باشد، Sodin معماری پردازندهای که اجرا میکند را بررسی میکند و سپس یکی از دو shellcode گنجاندهشده در بدنهی این تروجان را بسته به معماری پردازنده، اجرا میکند. این shellcode تلاش میکند یک سری خاص از توابع WinAPI با آرگومانهای ساختگی مخرب را بهمنظور راهاندازی آسیبپذیری فراخوانی کند. بدین ترتیب، این تروجان به بالاترین سطح دسترسی در سیستم دست مییابد. در اینجا هدف این است که راهحلهای امنیتی نتوانند به راحتی این بدافزار را شناسایی کنند.
Sodin یک طرح ترکیبی را برای رمزگذاری دادهها پیادهسازی میکند. این طرح از یک الگوریتم متقارن برای رمزگذاری فایلها و رمزگذاری نامتقارن منحنی بیضوی برای حفاظت از کلید استفاده میکند.
کلید خصوصی نیز با یک کلید عمومی دومی که در بدافزار گنجانده شده است رمزگذاری و نتیجه در رجیستری ذخیره میشود.
پس از رمزگذاری فایلها، sodinokibi یک افزونهی تصادفی که برای هر رایانهای که آلوده کرده است متفاوت است را ضمیمه میکند.
کد مخرب Sodin فایلهای تنظیمات صفحهکلید مخصوص کشورهای خاصی از جمله روسیه، اوکراین، بلاروس، تاجیکستان، ارمنستان، آذربایجان، گرجستان، قزاقستان، قرقیزستان، ترکمنستان، مالدیو، ازبکستان و سوریه را رمزگذاری نخواهد کرد.