Trellixより報告されたマイニングマルウェアは、よくあるマイニングマルウェアとは異なる特徴がいくつもあった。
間違いなくリゼロ好きな攻撃者が作ったと思われるオプション、BYOVD、USBメモリ等での感染拡大機能。
高度だったり、アニオタだったり情報量沢山で面白い。
攻撃者は「Re:ゼロから始める異世界生活」好き
リゼロといえば死に戻り?2016年に1期を放送して、4月から4期らしい。いやー、もう10周年なのかぁ。
re-zero-anime.jp
個人的には1期のスバル君の言動に耐えられなくて、当時同時期にニコ生でやってたKey作品の一挙放送がなければ1期完走できなかったくらいの感じ。
2期以降は未視聴。
そのリゼロに関係するっぽいオプションが複数。
| オプションパラメータ | 機能 | 関連しそうなリゼロ要素 |
|---|---|---|
| 002 Re:0 | ペイロードを展開、マイニングの実行、マイニング監視機能を有効化 | 死に戻りした1期の第2話を表している思われる。つまり、死に戻り=永続化。 |
| 016 | マイニングプロセスのスキャン、停止している場合は再起動したりするヘルスチェックモード | たぶん、1期16話なのかなぁと思ったが、「豚の欲望」はスバル君の良くないところが沢山露出する話であって何か違うような気が。20分くらいレムがスバル君を励ます素晴らしい回の第18話だったら納得したが。本当は018では? |
| barusu | 全てのマルウェア機能を停止、関連ファイルを全て削除する | スバル君のあだ名。スバル君が死ぬことで一旦全てリセット的な意味合い?今回の流れ的に滅びの呪文の方じゃないと思う。 |
久しぶりにリゼロを観るかぁと思ってしまった。
BYOVDでカーネルでの実行を狙う
WinRing0x64.sysの脆弱性CVE-2020-14979を悪用。
nvd.nist.gov
脆弱なバージョンのWinRing0x64.sysをロードして、カーネルレベル制御できるようにしていた。
MDVBLがあるから、最新のWindows 11ならBYOVDでもブロックできるかもしれないがWindows 10とかだったらダメか。
そもそも、海賊版とかでWindows Defenderの設定とか変えないと動かないよとか言われてそうだから、あっけなくBYOVDでやられちゃうのかなぁ。
USBメモリなどのリムーバブルメディアを介して感染拡大を狙う
ストレージとなるデバイスが接続された際に、ドライブレターを検索。
発見した新たなドライブにマルウェアをコピー。LNKファイルをエントリポイントとして配置。
これで、エアギャップのある端末にもUSB経由で感染拡大を狙う。
でも、マイニングした分はオンラインで送るので感染端末がインターネットに繋がっていないと利益にはならない。
マイニングマルウェアの割に高度過ぎる
BYOVDやらUSB感染やら、マイニングマルウェアにしてはやけに気合が入っている。
もしかすると、まだテスト段階でどれくらい有効なのか計るためにとりあえずマイニングマルウェアとして配信しているのかもしれない。
リゼロってラノベ版は全部で62刊もあるってさ。凄いねアニメどこまでいけるんかね。
