TI INSIDE Online -

RSS Feed Compartilhe TI INSIDE Online no Facebook Compartilhe TI INSIDE Online no Twitter Compartilhe TI INSIDE Online no Google+ Compartilhe TI INSIDE Online no Linkedin

Nova variante do ransomware SynAck utiliza técnica Doppelgänging para esquivar-se da segurança

Postado em: 08/05/2018, às 23:16 por Redação

Os pesquisadores da Kaspersky Lab descobriram uma nova variante do cavalo de Troia de ransomware SynAck, que usa técnica Doppelgänging para burlar a segurança do antivírus, ocultando-se em processos legítimos. É a primeira vez que essa técnica é observada em um ransomware em campo. Os desenvolvedores por trás do SynAck também implementam outros truques para evitar a detecção e análise. Por exemplo, ofuscam todo o código do malware antes da compilação da amostra e, se houver algum sinal de que ele está sendo executado em uma Sandbox, o encerram imediatamente.

O ransomware SynAck é conhecido desde o terceiro trimestre de 2017 e, em dezembro, atingiu principalmente usuários de idioma inglês com ataques de força bruta via protocolo RDP, seguidos do download e instalação manual do malware. A nova variante descoberta pelos pesquisadores da Kaspersky Lab implementa uma abordagem muito mais sofisticada, que utiliza a técnica Process Doppelgänging para esquivar-se da detecção.

Divulgado em dezembro de 2017, o Process Doppelgänging envolve uma injeção de código sem arquivo que tira proveito de uma função interna e de uma implementação não documentada do carregador de processos do Windows. Os invasores manipulam a maneira como o Windows lida com transações de arquivos e assim conseguem dissimular ações maliciosas como se fossem processos legítimos inofensivos, mesmo usando código malicioso conhecido. O Doppelgänging não deixa qualquer evidência que possa ser rastreada, sendo extremamente difícil detectar esse tipo de invasão. Essa é a primeira vez que foi observado um ransomware que utiliza essa técnica em campo.

Outras características dignas de atenção da nova variação do SynAck incluem:

  • O cavalo de Troia ofusca seu código executável antes da compilação, em vez de empacotá-lo da maneira como faz a maioria dos outros ransomware. Isso dificulta o uso da engenharia reversa para analisar o código malicioso;
  • Ele também ofusca os links para a função da API necessária e armazena hashes em cadeias de caracteres, em vez das cadeias próprias;
  • Ao ser instalado, o cavalo de Troia analisa o diretório em que seu executável é iniciado e, se identificar uma tentativa de execução em um diretório 'incorreto', como uma possível Sandbox automatizada, encerra o processo;
  • O malware também é encerrado antes de ser executado quando o computador da vítima tem um teclado definido para cirílico;
  • Antes de criptografar os arquivos no dispositivo da vítima, o SynAck verifica os hashes de todos os processos e serviços em execução em relação a sua própria lista incorporada no código. Se houver uma correspondência, ele tenta matar o processo. Os processos bloqueados dessa maneira incluem máquinas virtuais, aplicativos do Office, interpretadores de script, aplicativos de banco de dados, sistemas de backup, aplicativos de jogos e outros – possivelmente para facilitar o sequestro de arquivos valiosos que, de outra forma, podem ficar amarrados aos processos em execução.

Os pesquisadores acreditam que os ataques dessa nova variante do SynAck são altamente direcionados. Até o momento, foi observado um número limitado de ataques nos EUA, Kuwait, Alemanha e Irã, com pedidos de resgate de US$ 3.000,00.

"A corrida entre atacantes e defensores no ciberespaço é interminável. A capacidade da técnica Process Doppelgänging de fazer o malware passar pelas medidas de segurança mais modernas representa uma ameaça importante que, compreensivelmente, foi adotada rapidamente pelos invasores. Nossa pesquisa mostra como o ransomware direcionado relativamente discreto SynAck usou essa técnica para aprimorar sua capacidade de dissimulação e infecção. Felizmente, a lógica de detecção desse ransomware foi implementada antes dele surgir em campo", diz Anton Ivanov, analista chefe de malware da Kaspersky Lab.

RSS
Facebook
Google+
http://tiinside.com.br/tiinside/seguranca/tecnologia-seguranca/08/05/2018/nova-variante-do-ransomware-synack-utiliza-tecnica-doppelganging-para-esquivar-se-da-seguranca/
Twitter
LinkedIn

Tags: , ,

0 Comentários

Deixe o seu comentário!

Nome (obrigatório)

E-mail (não será mostrado) (obrigatório)

Website

Mensagem (obrigatório)



Top
Social media & sharing icons powered by UltimatelySocial