wakatonoの戯れメモ

はてなダイアリーから引っ越してきました。

何が新しいのか?〜内容はほとんど自爆テロだけど、何かがおかしい

記事をざっと読んで「うわこれヒドイ」と思った点は大きく2つ。

  • 標的型攻撃の手法に類似した方法で感染拡大を試みる
  • 通常のデータファイルだけではなく、バックアップファイルの破壊も試みる

で…記事をもとに、ざっと図を書き起こしてみた。


  • 図中(1)で感染したPCは、(2)のスキャンを行う
  • (2)のスキャンの結果、スキャン先に使える脆弱性がある場合には、(3)でマルウエアをリモート実行
  • 最終的に(4)のフェーズになると、vssadminなどでボリュームシャドウコピーにある「バックアップ」を削除し放題

という感じか。

標的型攻撃との相違をいろいろと考えてみたけど、「標的型攻撃」というのはあくまで攻撃の仕方や対象の絞り方で攻撃を分類した時の呼称であり、ランサムウェアは明らかに「データの身代金を取る」という目的思考の呼称なので、あまり筋はよろしくない。むしろこのような説明の仕方は、「ランサムウェアの手法を取り入れた標的型攻撃」が登場した際に、変な先入観(ランサムウェア is not used in 標的型攻撃)を植え付けかねないので、正直嫌。

でも、「バックアップファイルの破壊も試みる」は実は、最初の「標的型攻撃の手法に類似した方法で感染拡大を試みる」という特徴を備えた時点でほぼ自動的に実現されるのではないか、と考えている。

また、よく読むと「ボリュームシャドウコピーを削除」なので、(確かにバックアップファイルではあるけど)あまねくバックアップファイルをターゲットとしているわけではない。もちろん、リモートバックアップを行ったところでも、ランサムウェアがターゲットとしているファイル名がそのまま残存してると、そのバックアップ先にランサムウェアが感染した時に「アウチ」となるわけだが。