他のエンコーダとは異なりSorebrectは、エンタープライズシステムに焦点を当てました。

日々、サイバー犯罪者は、より創造的になっていて、革新的で、より隠蔽する攻撃技術を開発しています。典型的な例は、最近、トレンドマイクロの専門家によって発見されたSorebrectで、ファイル無しの違法なソフトウェアの新種です。

他のエンコーダとは異なり、Sorebrectは、エンタープライズシステムに焦点を当てました。プログラムは、ターゲットコンピュータ上の正当なシステムプロセス（SVCHOST.EXE）で暗号化処理を開始し、悪意のあるコードを埋め込み、その後、検出を回避するために、自分自身を削除します。

Sorebrectは、ブルートフォース法、または他の技術を使用して管理者の資格情報にアクセスし、ファイルを暗号化するために（コマンドのリモート実行するためのユーティリティ）、MicrosoftのSysinternals PsExecはを使用しています。

研究者が説明したように、PsExecは、攻撃者が認証の許可、あるいは、リモートコンピュータ上に悪意のあるソフトウェアを手動で移動しなくてもコマンドを実行することができます。

ランサムウェアはまた、パブリックフォルダを持つコンピュータのローカルネットワークをスキャンします。Sorebrectは、感染したコンピュータ上のファイルのすべてのイベントログ（使用wevtutil.exe）のレコードだけでなく、シャドウコピーを削除します。他ののマルウェアから類推すると、Sorebrectは、管理対象サーバと安全に通信するためにはTorを使用しています。

専門家によると、Sorebrectは、産業、技術、電気通信など、様々な分野の企業のシステムを攻撃するように設計されています。最近まで、攻撃の主なターゲットは中東、特にクウェート、レバノンの組織が中心でしたが、この年の5月以来、専門家は、カナダ、中国、クロアチア、イタリア、日本、ロシア、メキシコ、台湾、米国内のユーザーを狙った攻撃を検知し始めています。

違法なソフトウェア – コンピュータアクセスをブロックし、見返りに現金の支払いを要求する悪質なソフトウェアの種類。現金要求の規模とブロックの理由は、ウイルスの種類によって異なります。

Windows 7以降のユーティリティwevtutil.exeは、システムの標準コンポーネントであり、設定管理によるジャーナル名一覧、イベント、インストールやアンインストール履歴一覧等を受信するように設計されています。

記事提供元: http://www.securitylab.ru

翻訳: Kazunori Yoshida