SynAck成首個使用Process Doppelg?nging代碼注入技術的勒索軟體

「用指尖改變世界」

在2017年12月7日，於英國首都倫敦舉行的Black Hat 2017安全會議上，來自網路安全公司enSilo的兩位研究人員Tal Liberman和Eugene Kogan 向我們描述了一種新型的代碼注入技術，他們將其命名為「Process Doppelg?nging」。

Process Doppelg?nging被描述為能夠工作在幾乎所有的Windows操作系統上，從Windows vista 到最新的Windows。另外，由於使用Process Doppelg?nging的惡意軟體代碼不會被保存到本地硬碟上（被稱為「無文件攻擊」），這使得目前市面上絕大多數流行的安全產品和取證工具都無法檢測出這些惡意軟體。

研究人員表示，他們針對各種安全產品都測試過Process Doppelg?nging注入技術，包括Windows Defender、Kaspersky Labs、 ESET NOD32、Symantec、Trend Micro、Avast、McAfee、AVG、Panda，甚至是一些先進的取證工具（例如，內存取證工具Volatility）。結果是令人震撼的，這些安全產品和取證工具都無法檢測出使用該技術的惡意軟體。

卡巴斯基實驗室在本周一（5月7日）發布報告稱，他們在上個月發現了首個使用這種代碼注入技術的勒索軟體，即SynAck。需要指出的是，SynAck並不是一種最近才出現的新型勒索軟體。它被發現的最早時間可以追溯到2017年9月，但最近被發現的樣本正在使用Process Doppelg?nging技術。

毫無疑問，SynAck使用Process Doppelg?nging技術的目的在於試圖繞過安全產品的檢測。該技術利用了Windows操作系統的NTFS Transactions機制，從事務處理文件啟動惡意進程，以使得這些進程看起來像是合法進程。

通常來講，為了使惡意軟體分析師的工作複雜化，惡意軟體的開發人員往往都會使用自定義的PE軟體包來保護惡意軟體可執行文件的原始代碼。然而，SynAck的開發人員似乎並沒有這麼做，他們並沒有對勒索軟體的可執行文件進行打包。不過，他們在SynAck的源代碼中添加了大量的混淆代碼，這使得對SynAck的分析極為困難。

在加密文件之前，SynAck會檢索所有正在運行的進程和服務，並根據兩個硬編碼的哈希值列表（數百個組合）來檢查其名稱的哈希值。如果發現匹配，它會會嘗試終止這些進程或停止服務。

正如我們所看到的那樣，SynAck試圖終止與虛擬機、辦公應用程序、腳本解釋器、資料庫應用程序、備份系統以及遊戲應用程序等相關的程序。研究人員認為，SynAc這樣做的目的在於授予自身能夠訪問這些進程所使用的有價值文件的許可權。

如同其他勒索軟體一樣，SynAck也會收集一些關於受感染主機的基本信息，如計算機和用戶名、操作系統版本信息等，然後使用隨機生成的256位AES密鑰對目標文件進行加密。在文件被加密後，將會被附加一個隨機生產的擴展名。

除此之外，SynAck還會清除系統存儲的事件日誌，並且可以通過修改註冊表中的LegalNoticeCaption和LegalNoticeText鍵將自定義文本添加到Windows登錄屏幕。因此，在用戶登錄其帳戶之前，Windows會顯示來自網路犯罪分子的消息。

卡巴斯基總結說，他們目前只是在美國、科威特、德國和伊朗監測到了的幾起SynAck勒索軟體攻擊事件，這使他們相信該勒索軟體是針對某些特定目標而專門定製的。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！