Ransomware SynAck si nyní poradí s antivirem i se sandboxem



Na novou variantu ransomwarového trojana SynAck upozorňuje Kaspersky Lab. Trojan podle jeho odborníků využívá Process Doppelgänging techniku, díky níž je schopen obejít antivirové zabezpečení a nenechat se odhalit v sandboxu.

Prostřednictvím techniky Process Doppelgänging, kterou odborníci u ransomwaru zaznamenali poprvé, schovají kyberzločinci svou zákeřnou aktivitu za oprávněné procesy. Hackeři stojící za SynAck využívají i další triky, aby se vyhnuli detekování. Ještě před kompilací vzorků veškerý malwarový kód skryjí a v případě, že mají podezření na testování prostřednictvím sandboxu, daný systém opustí.

Ransomware SynAck se objevil na podzim minulého roku a v průběhu prosince útočil na převážně anglofonní uživatele. K poměrně agresivním útokům využíval síťový protokol remote desktop protocol (RDP), po jehož iniciaci následovalo manuální stažení a instalace malwaru. Nová varianta objevená odborníky Kaspersky Lab však využívá sofistikovanější metody, kdy se pomocí techniky Process Doppelgänging vyvaruje své detekci.

Technika Process Doppelgänging

Technika Process Doppelgänging zahrnuje bezsouborovou injektáž kódu, která využívá zabudované Windowsové funkce a neoprávněnou implementaci systémové komponenty označované jako Windows process loader. Manipulací s tím, jak Windows zpracovává soubory, mohou útočníci do systému dostat škodlivé aktivity. Ty tímto způsobem vydávají za neškodné, i když používají běžně známé škodlivé kódy. Doppelgänging po sobě nezanechává žádné stopy, což velmi znesnadňuje jeho detekování. Využití této techniky bylo u ransomwaru pozorováno vůbec poprvé.

Mezi další zajímavé charakteristiky nové varianty ransomwaru SynAck patří:

  • Trojský kůň dokáže skrýt svůj spustitelný kód před kompilací (na rozdíl od většiny ransomwarů), což znemožňuje bezpečnostním odborníků provést reverzní inženýrství a analyzovat škodlivý kód.
  • SynAck také zakrývá odkazy na API funkce.
  • Po instalaci trojan přezkoumá adresář, ze kterého je spuštěn jeho spustitelný soubor, a pokud zaznamená pokus o jeho spuštění z „nesprávného“ adresáře – například potenciálního automatizovaného sandboxu – sám se vymaže.
  • Malware se také vymaže, pokud je klávesnice oběti nastavená na azbuku.

Před zašifrováním souborů na napadeném počítači SynAck porovná hashe všech běžících procesů a služeb se svým hard-coded listem. Pokud nalezne nějakou shodu, pokusí se daný proces zastavit. Mezi takto zablokované procesy patří virtuální stroje, kancelářské aplikace, script interpreters, databázové aplikace, zálohovací systémy, hry a další. Kyberzločinci si tím usnadňují získání cenných souborů, které by jinak byly vázány na běžící procesy.

Kyberbezpečnostní odborníci jsou přesvědčeni, že útoky využívající novou variantu SynAck jsou velmi dobře zacílené. Doposud zaznamenali několik útoků na území Spojených států, Kuvajtu, Německa a Íránu. Kyberzločinci po obětech vyžadovali výkupné ve výši 3 000 dolarů.


(23. 5. 2018 | redakce2)

Facebook Twitter
Komentáře, názory a rady

Zatím sem nikdo nevložil žádný komentář. Buďte první...

>>> Číst a vkládat komentáře <<<

Tip - Konference: DATOVÁ CENTRA PRO BUSINESS 2019 - 19.9.2019!
Hledáme nové kolegy pro realizaci zajímavých projektů
v oblasti IT

NOVINKA: Pozoruhodné IT produkty 2019 podruhé
Ani tentokrát si nenechte ujít produkty, které vám mohou pomoci ve vaší práci v IT.

Pozoruhodné IT produkty pro rok 2019
Náš první letošní seznam zajímavých produktů, které byste určitě neměli minout






Články čtenářů

Titulky vložené do videa a další vid...


Dnes tu má tip pro všechny, kdo nejen pracují, ale také se občas baví :). Co dělat, když potřebujete video s vloženými titulky a máte jen video, kde titulky vložené ...

Problém: Pomalá Windows 10 a jak je ...


Pomalá Windows 10, to je problém, se kterým se potkává řada uživatelů. Často přitom nastane najednou, doslova ze dne na den. Windows se pomalu spouštějí, aplikace se...

Komentáře čtenářů

TBW
Dobrý den. Koukám že váš článek je z roku 2016. Dnes je rok 2019 a situace může být odlišná. Můj dotaz z...>>
Podnikání na youtube
Zdravím, měl bych pár dotazů týkajících se podnikání na youtube. Četl jsem na http://techhity.cz/media/j...>>
Zdá se mi to nebezpečné
Přijde mi to už docela nebezpečné, že půjde platit i prostřednictvím televize. Ale pokrok nezastavíme. C...>>


©2011-2019 BusinessIT.cz, ISSN 1805-0522 | Názvy použité v textech mohou být ochrannými známkami příslušných vlastníků.
Provozovatel: Bispiral, s.r.o., kontakt: BusinessIT(at)Bispiral.com | Inzerce: Best Online Media, s.r.o., zuzana@online-media.cz
Používáme účetní program Money S3
O vydavateli | Pravidla webu BusinessIT.cz a ochrana soukromí | pg(6091)