Cyberprzestępcy wykorzystują technikę tworzenia sobowtórów procesów w celu obejścia ochrony antywirusowej

15-05-2018, 16:57

Badacze wykryli nowy wariant trojana ransomware o nazwie SynAck, który wykorzystuje technikę tworzenia sobowtórów procesów w celu obejścia ochrony antywirusowej poprzez ukrywanie się w legalnych zasobach. Jest to pierwszy znany przypadek wykorzystania tej techniki w szkodliwym kodzie dystrybuowanym w internecie.

Oprogramowanie ransomware SynAck znane jest od jesieni 2017 r. W grudniu jego celem byli głównie użytkownicy anglojęzyczni. Wykryty przez badaczy z Kaspersky Lab nowy wariant jest znacznie bardziej wyrafinowany. Technika tworzenia sobowtórów procesów (Process Doppelgänging), którą przedstawiono w grudniu 2017 r., polega na wstrzykiwaniu kodu bezplikowego, który wykorzystuje wbudowaną funkcję systemu Windows oraz nieudokumentowaną implementację modułu ładującego procesy w tym systemie operacyjnym. Poprzez manipulowanie sposobem obsługi transakcji plików przez system Windows atakujący mogą sprawić, aby niebezpieczne działania wyglądały na nieszkodliwe, legalne procesy, nawet jeśli wykorzystują znany szkodliwy kod. Omawiana technika nie pozostawia żadnego widocznego śladu, przez co tego rodzaju ingerencja jest niezwykle trudna do wykrycia. Jest to pierwsze oprogramowanie ransomware zaobserwowane na wolności, które wykorzystuje tę technikę.

Inne istotne cechy nowej wersji trojana SynAck:

  • W przeciwieństwie do większości programów ransomware, które pakują swój kod wykonywalny, trojan zaciemnia go, utrudniając badaczom odtworzenie i analizę szkodliwego kodu.
  • Szkodnik zaciemnia również odsyłacze do niezbędnej funkcji API i zamiast właściwych ciągów przechowuje ich skróty.
  • Po instalacji trojan sprawdza katalog, z którego uruchamiany jest jego plik wykonywalny, i jeśli zauważy próbę uruchomienia go z „niewłaściwego” katalogu – takiego jak potencjalna zautomatyzowana piaskownica wykorzystywana przez analityka – kończy działanie.
  • Szkodnik kończy również działanie bez wykonania, jeśli na klawiaturze komputera ofiary ustawiono stosowanie cyrylicy.
  • Przed zaszyfrowaniem plików na urządzeniu ofiary SynAck porównuje skróty wszystkich uruchomionych procesów i usług z własną zakodowaną na stałe listą. Jeśli znajdzie dopasowanie, próbuje zakończyć proces. Zablokowane w ten sposób procesy dotyczą maszyn wirtualnych, aplikacji biurowych, interpreterów skryptów, aplikacji baz danych, systemów zapasowych, gier i innych – prawdopodobnie w celu ułatwienia przechwycenia cennych plików, które w przeciwnym razie mogłyby zostać zablokowane w uruchomionych procesach.

Badacze uważają, że ataki z użyciem nowej wersji szkodnika SynAck są ściśle ukierunkowane. Jak dotąd zaobserwowano ograniczoną liczbę ataków w Stanach Zjednoczonych, Kuwejcie, Niemczech i Iranie, w których żądano okupu w wysokości 3 tys. dolarów amerykańskich.

Źródło: Kaspersky Lab


Źródło: materiał nadesłany do redakcji
To warto przeczytać






Komentarze
comments powered by Disqus
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Maj 2018»
PoWtŚrCzwPtSbNd
 123456
78910111213
14151617181920
21222324252627
28293031 
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2018 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.