<
>

2018年

2018年5月8日

Synack Ransomware的新变种使用复杂的Doppelgänging技术来逃避安全

卡巴斯基实验室研究人员已经发现了一种使用Doppelgänging技术通过隐藏在合法过程中来绕过反病毒安全性的同步赎金瓶子木马的新变种。这是在野外勒克斯摩器中看到Doppelgänging技术第一次。 Synack后面的开发人员还实现了逃避检测和分析的其他技巧:在样本编译之前混淆所有恶意软件代码,如果符号建议在沙箱中启动它,则退出。
 
自2017年秋季自2017年秋季已知同步Ransomware,并在12月被观察到主要针对远程桌面协议(RDP)的英语用户,然后是手动下载和安装恶意软件。卡巴斯基实验室研究人员未发现的新变种实现了更复杂的方法,使用该过程Doppelgänging技术来逃避检测。
 
2017年12月报告,流程Doppelgänging涉及一个无纺布代码注入,它利用内置的Windows函数和Windows Process Loader的未记录实现。通过操纵Windows处理文件事务的方式,攻击者可以将恶意行为传递为无害的合法流程,即使它们正在使用已知的恶意代码。 Doppelgänging不会背后的追踪证据,使这种类型的入侵极难探测。这是第一次使用此技术在野外观察勒索软件。
 
其他不值得注意的同步变体的特征包括:

  • 特洛伊木马在编译之前会使其可执行代码组合在一起,而不是像大多数其他勒索软件一样打包它,使研究人员更加难以逆转工程师并分析恶意代码。

  • 它还掩盖了与必要的API函数的链接,并将哈希存储到字符串而不是实际字符串。

  • 在安装后,特洛伊木马评论其可执行文件启动的目录,如果它发现从“不正确”目录启动它 - 例如潜在的自动沙箱 - 它退出。

  • 如果受害者PC具有设置为“西里尔脚本”的键盘,则恶意软件也没有执行。

  • 在加密受害者设备上的文件之前,Synack将检查所有运行进程和服务的哈希针对自己的硬编码列表。如果它找到匹配项,它会尝试杀死该过程。以这种方式阻止的进程包括虚拟机,Office应用程序,脚本解释器,数据库应用程序,备份系统,游戏应用程序,以及更容易抓住可能默认在运行进程中绑定的宝贵文件。

“网络空间中攻击者和捍卫者之间的种族是永无止境的。该过程Doppelgänging技术潜行恶意软件的能力最新的安全措施代表了重大威胁;一个并非令人惊讶的是,攻击者迅速抓住了一个。我们的研究表明,有针对性的Ransomware同步如何使用该技术来提升其隐身和感染能力。幸运的是,在野外出现之前实现了这个勒索软件的检测逻辑,“卡巴斯基实验室的威尔沃夫·伊万诺夫