新種のランサムウェア「Anatova」--高い技術を有した開発者が背後に?
コメント
注目のコメント
興味深い検体ですね
既にVirusTotalに検体が上がっているようです。
https://www.virustotal.com/ja/file/170fb7438316f7335f34fa1a431afc1676a786f1ad9dee63d78c3f5efd3a0ac0/analysis/
検出時のファイル名は「170fb7438316.exe、anatova.exe、CallOfCthulhu.exe」など
現在の検出率は47 / 72とのことなのでリストにご利用の製品が含まれているかチェックするとよいでしょう。
とはいえ一人の研究者として、そこまで高度なことをしているようには思いません。
GetModuleHandleW、LoadLibraryW、GetProcAddress、ExitProcess、MessageBoxAなどの標準的な関数をメモリにロードして利用することや解析環境の回避、特定言語化での動作停止などは特に高度なことではなく、強いて言えば外部からのモジュールロードが可能な点でしょうか
「extra1.dll」と「extra2.dll」という二つの外部DLLを読み込めるようになっているわけですがこれも特に珍しいことではなく高機能RATなどにはしばしばみられることです。
アセンブラベースであることを前提としても動作の安定性などがはっきりしないので必ずしも高度とは言えないでしょう。
攻撃経路にゼロデイが使われていたりReturn to CSU等で保護機能をバイパスしている、もしくは.net reactorのように最小ライブラリを自前で持っていて実行時にオンメモリ展開して使用するなどでもしていればこの表現は妥当ですが、少々煽りすぎでしょう
本業のオーダーメイドマルウェアのコーダーからすれば鼻で笑えるレベルです
