ランサムウェアがシャットダウンされたPCをリモートから Wake-On-Lan(WOL)で強制起動させ暗号化する手口の話→ソースコードでの解説が凄い

📕「マルウエアの教科書」著者 | 吉川孝志 | 増補改訂版🌟発売中 @MalwareBibleJP 【登録不要&無料公開】ランサムウェア攻撃グループ同士の繋がりやリブランドなどをまとめた一覧図（マップ）の最新版(PDF)を公開しました。 ぜひご自由にダウンロードしご活用ください。 前回バージョンの公開が2023年末でしたので、実に半年ぶりの更新になってしまいましたが、マップのサイズを2倍に拡大し、新たに50以上の攻撃グループに関する関連情報を新規追加・更新するなど、様々な改良を加え大幅アップデートしました。 ⚫︎「ランサムウェア/ 攻撃グループの変遷と繋がり − MBSD Ransomware Map Rev.2.20」 ⭐️新規＆変更点： ●全体のレイアウトとサイズを大幅に見直し、情報をより見やすく整理しました。 ●攻撃グループ同士の関連性が一目でわかるようにデザインを視覚的に刷新。

[BoiledEgg]

パワーオフ状態の仮想マシンはWoLで上がらないがESXiをWoLで挙げることはできる…けど、iLOみたいなBMCがある環境でWoL有効にしとく意味はない気がする。今回の件では関係ないんじゃないかな……

[magi00]

まあ、一回でも入られているなら、そのあたり全部ランサムウェア側が勝手に有効にするよね

[ryun_ryun]

ハッカーの腕が上がり過ぎた結果、オンプレ環境の構築運用するSEでは対応しきれなくなった感。そもそも日本のIT運用はSES多くて技術力が、、

[honma200]

WoLってさリモートで使おうと思って起動できないってイメージがあったりする

[Windfola]

以前も、話題の事件に乗じて事例紹介とか注意喚起した人が、「○○の手口はこうなんですね！」「○○の手口はこんなんじゃない！嘘言うな！」に襲撃されてデマ発信者扱いされるの見た気がする。用心用心。

[Rambutan]

WoLはUEFIの設定とOS上の設定が両方オンじゃないと使えないし、ハードウェア構成によってはスリープや休止状態(含む高速スタートアップ)だとうまく動かないこともあるから実際に攻撃に使えるかは微妙な気がする

[napsucks]

ドワンゴの件は単にハイパーバイザの管理コンソール奪われただけにも見えるし、IPMI乗っ取られたようでもありWoLで起こされたようでもあり、全く情報公開がないからわからんね

[nakakzs]

正直今、サーバに何かあったら物理的に電源引っこ抜く駆動式装置とか作ったら、なんか売れるのではなかろうか（サーバのオプションでもいいが）。どうせ超緊急時のみだから、使い捨て型でもいいし。

[ya--mada]

炎上に乗じて違う話をするから…。分かってない輩がwake on LANをデーセンでも使っているとか、有効化されて強制的に…とか、ワケワカラン説が… / インテリジェントPDU使うんでは、 https://www.dcasia-ltd.com/blog/power/7625/

[TakayukiN627]

分かりやすかった｜『マルウェアの教科書』

[n_y_a_n_t_a]

うんよく分からん

[puhu208n]

WoLはNICがPCIeに出ている起動信号ピンを落として起こす。遠隔起動には他に管理用CPUを叩いて起こす方法もある。昔からある / 電源周りは規制対応が面倒で商売として難しいからじゃないか ＞物理的に引っこ抜く

[fivestech]

マジックパケットも知らないパンピー共が何が言ってる

[nikumin]

角川の件は“遠隔でプライベートクラウド内のサーバーをシャットダウンした後も、第三者がさらに遠隔からサーバーを起動させ”って書いてあるのにオンプレの話になってるのがまだよくわかってない

[poad1010]

この記事をおすすめしました

[fhvbwx]

WOL無効化は意味ないよね

[prjpn]

サスペンドしてないと意味ない気がする

[PrivateIntMain]

電源が入るだけなら大して問題は無い(その後に勝手に動き出すやつがまずい)し、WoLの無効化では侵入や感染を防げない。まあ使わないのに開けておく必要も無いので戸締まりしとこぐらいは大事。

[chintaro3]

面倒臭い話だなぁ。

[hiroomi]

“ランサムウェアの系統”系統を紐解いて、シクシク刈り取っていけるのか。

[NOV1975]

WoLを叩くこと自体は攻撃コードじゃないよ？

[mobits]

NWが適切に設計されていなかったみたいな話が攻撃者から出てたから外部からOOBネットワークに到達できちゃったのかね

[SilverHead247]

WindowsのAI PCは端末側で「安全」にプライベートな情報についてAIのパワーを利用できるとしているが、Windowsである限り筒抜けになりそう。最近、何人ものYoutuberが案件メールからアカウントを乗っ取られている。

[Shinwiki]

対応してても無効化されてたら無理っしょ？そこいじれたとしても一回通電止めないとダメなような。

[enemyoffreedom]

こういう詳しい解説はありがたいが、「Wizard Bible」管理者の逮捕事件等を思い出して心配にもなる

[togetter]

外部起動できるって聞いたことあるけど本当なんだ...WOLを無効にしておかなくちゃ。

[Iridium]

OS自体もっとセキュアなものに設計できないかなー。「rootならなんでも許す」ってよくないと思うんだよね。root取られたら終わっちゃうじゃん。権限を分散する設計にしたい。

[caffephilia]

Run (from) somewhere ってことぉ？

[hatebu_admin]

vSphereならWoLでVM上げられるのはWinゲスト且つS1ステートのもの、その前にVMオプションで有効化必要で普通やらんし常識的に考えてESXiコンソールやろ。ESXiはとうの昔から狙われてる。無線でWoLできるのはS3ステートだけ。

[dirt1999]

オンプレはセキュリティ的にガバでゴミ、ファイアウォールは自己満足のオナニーという所まで読んだ

[yarumato]

“とりあえずできる対策として「WOLを無効」　Wake on Lanを至急で無効化した。”