Ransomware SynAck si nyní poradí s antivirem i se sandboxem



Na novou variantu ransomwarového trojana SynAck upozorňuje Kaspersky Lab. Trojan podle jeho odborníků využívá Process Doppelgänging techniku, díky níž je schopen obejít antivirové zabezpečení a nenechat se odhalit v sandboxu.

Prostřednictvím techniky Process Doppelgänging, kterou odborníci u ransomwaru zaznamenali poprvé, schovají kyberzločinci svou zákeřnou aktivitu za oprávněné procesy. Hackeři stojící za SynAck využívají i další triky, aby se vyhnuli detekování. Ještě před kompilací vzorků veškerý malwarový kód skryjí a v případě, že mají podezření na testování prostřednictvím sandboxu, daný systém opustí.

Ransomware SynAck se objevil na podzim minulého roku a v průběhu prosince útočil na převážně anglofonní uživatele. K poměrně agresivním útokům využíval síťový protokol remote desktop protocol (RDP), po jehož iniciaci následovalo manuální stažení a instalace malwaru. Nová varianta objevená odborníky Kaspersky Lab však využívá sofistikovanější metody, kdy se pomocí techniky Process Doppelgänging vyvaruje své detekci.

Technika Process Doppelgänging

Technika Process Doppelgänging zahrnuje bezsouborovou injektáž kódu, která využívá zabudované Windowsové funkce a neoprávněnou implementaci systémové komponenty označované jako Windows process loader. Manipulací s tím, jak Windows zpracovává soubory, mohou útočníci do systému dostat škodlivé aktivity. Ty tímto způsobem vydávají za neškodné, i když používají běžně známé škodlivé kódy. Doppelgänging po sobě nezanechává žádné stopy, což velmi znesnadňuje jeho detekování. Využití této techniky bylo u ransomwaru pozorováno vůbec poprvé.

Mezi další zajímavé charakteristiky nové varianty ransomwaru SynAck patří:

  • Trojský kůň dokáže skrýt svůj spustitelný kód před kompilací (na rozdíl od většiny ransomwarů), což znemožňuje bezpečnostním odborníků provést reverzní inženýrství a analyzovat škodlivý kód.
  • SynAck také zakrývá odkazy na API funkce.
  • Po instalaci trojan přezkoumá adresář, ze kterého je spuštěn jeho spustitelný soubor, a pokud zaznamená pokus o jeho spuštění z „nesprávného“ adresáře – například potenciálního automatizovaného sandboxu – sám se vymaže.
  • Malware se také vymaže, pokud je klávesnice oběti nastavená na azbuku.

Před zašifrováním souborů na napadeném počítači SynAck porovná hashe všech běžících procesů a služeb se svým hard-coded listem. Pokud nalezne nějakou shodu, pokusí se daný proces zastavit. Mezi takto zablokované procesy patří virtuální stroje, kancelářské aplikace, script interpreters, databázové aplikace, zálohovací systémy, hry a další. Kyberzločinci si tím usnadňují získání cenných souborů, které by jinak byly vázány na běžící procesy.

Kyberbezpečnostní odborníci jsou přesvědčeni, že útoky využívající novou variantu SynAck jsou velmi dobře zacílené. Doposud zaznamenali několik útoků na území Spojených států, Kuvajtu, Německa a Íránu. Kyberzločinci po obětech vyžadovali výkupné ve výši 3 000 dolarů.


(23. 5. 2018 | redakce2)

Facebook Twitter
Komentáře, názory a rady

Zatím sem nikdo nevložil žádný komentář. Buďte první...

>>> Číst a vkládat komentáře <<<

NOVINKA: Pozoruhodné IT produkty 2019 podruhé
Ani tentokrát si nenechte ujít produkty, které vám mohou pomoci ve vaší práci v IT.

Pozoruhodné IT produkty pro rok 2019
Náš první letošní seznam zajímavých produktů, které byste určitě neměli minout






Články čtenářů

Pomalý notebook HP s Windows 10 - a ...


Jestli máte trable s pomalým počítačem od HP (nebo i od jiné velké značky), tak jste na tom stejně, jako jsem ještě před pár hodinami byl já. Zkoušel jsem řadu osvěd...

Slow HP Windows 10 notebook - and wh...


If you have trouble with a slow computer from HP (or even another big brand), you've the same problem I had a few hours ago. I tried a number of proven recipes, but ...

Komentáře čtenářů

TBW
Dobrý den. Koukám že váš článek je z roku 2016. Dnes je rok 2019 a situace může být odlišná. Můj dotaz z...>>
Podnikání na youtube
Zdravím, měl bych pár dotazů týkajících se podnikání na youtube. Četl jsem na http://techhity.cz/media/j...>>
Zdá se mi to nebezpečné
Přijde mi to už docela nebezpečné, že půjde platit i prostřednictvím televize. Ale pokrok nezastavíme. C...>>


©2011-2019 BusinessIT.cz, ISSN 1805-0522 | Názvy použité v textech mohou být ochrannými známkami příslušných vlastníků.
Provozovatel: Bispiral, s.r.o., kontakt: BusinessIT(at)Bispiral.com | Inzerce: Best Online Media, s.r.o., zuzana@online-media.cz
Používáme účetní program Money S3
O vydavateli | Pravidla webu BusinessIT.cz a ochrana soukromí | pg(6091)