ランサムウェアはどのようにしてディスクを暗号化する権限を取得しますか?
最近、従業員がランサムウェアを含む電子メールの添付ファイルをダウンロードし、ディスクを暗号化したため、私の雇用主がGmail、Yahoo Mailなどへのアクセスをブロックしました。
質問:ランサムウェアはどのようにしてroot/admin権限を取得してディスクを暗号化しますか?おそらく、それをダウンロードした人は、ある時点でadmin/rootパスワードを入力しなければなりませんでした。
ランサムウェアは必要がないため、root/admin権限を取得しません。
オペレーティングシステムによって保護されているディスクやファイル(実行可能ファイル、構成、資格情報)は暗号化せず、ユーザーが作成して保存したファイル(データ)を暗号化します。それを行うために必要なのは、ユーザー自身と同じレベルのアクセスだけです。
ユーザーがパスワードで保護されたZipを作成して元のファイルを削除するのと同じように、ランサムウェアもそうです(ただし、パスワードを秘密にして、元のファイルに本当にアクセスできないようにします)。
これがランサムウェアが非常に成功した理由であり、ユーザーや企業にとって最も価値のあるもの、つまり彼らの仕事を暗号化します。
Techrafは正しい答えを持っていますが(それはユーザー空間ファイルのみを暗号化することです)、ディスクの他の部分に何かをしたいのであれば、他のいくつかのマルウェアと同じようにそうすることを付け加えたいと思います...エクスプロイト経由。
マルウェアの作成者は、平凡なプログラムが本来の場所に到達できないようにするオペレーティングシステム設計の欠陥を見つけることができます。バッファオーバーフロー、IPC欠陥、不十分なカプセル化、および単純なミスにより、プログラムが不適切な場所に侵入する可能性があります。そのため、定期的にマシンにパッチを適用し、それらを維持することが重要ですWindows Updates current。ウイルス対策ソフトウェアでさえ、それが依存するオペレーティングシステムに背後にウイルスを許す欠陥がある場合には役に立ちません。
このため、Windows XP=(および来年以降のWindows 7))を使用しないことが重要です...これらの欠陥は発見されたため、修正されなくなりました。アンチのようなセキュリティアドオン製品-ウイルス自体はオペレーティングシステムのゲストプロセスであり、機能するために低レベルのセキュリティ機能に依存しているため、これらの問題に対する保護には役立ちません。
マルウェアやランサムウェアは、通常のユーザーと同じように管理者権限を取得しなくても、実際に機能します。
それとは別に、マルウェアまたはランサムウェアは、NSAエクスプロイトのような既知のエクスプロイトを使用してShadow Brokersグループ、同様に例があります-感染した多数のコンピューターで実際に世界を驚かせたWannaCryマルウェアが実際に悪用したEternalblue =Windowsの脆弱性を利用するエクスプロイトSMBリレー。今、ランサムウェアはユーザーの貴重なファイル。
ルート権限の取得または管理者権限の取得の部分
そのため、ランサムウェアは主に既知のエクスプロイトをターゲットとすることが多いため、パッチを当てていないWindowsをターゲットとするマルウェアを開発できますシステム、さらにルートアクセスを取得してより悪質なものを実行する場合。たとえば、私の友人であり仲間の研究者であるSandboxEscaperは、今週初めにWindowsでalpc LPEバグを公開しました。これをマルウェアに実装して、ローカルユーザーに実行ファイルまたはマルウェアをダウンロードさせた後の特権エスカレーション私たちが開発し、システム上でより悪意のあるアクションを実行します。ただし、ルート権限を取得したり、管理者権限を取得したりする必要は必ずしもありません。
結論:ランサムウェアは特定の既知のエクスプロイトを使用し、特定のレベルの損傷を対象とすることで、リモートバグをLPEと連鎖させて影響を拡大することもできますが、これはそうではありません通常のユーザー権限でファイルを暗号化できるため、通常ではありません