客服邮箱
kaba365@pcstars.com.cn
销售客服
(购买咨询|订单查询|兑换帮助)
400-819-1313(9:00-18:00)
技术客服
(安装|使用问题咨询)
400-611-6633(5×8小时)
卡巴斯基实验室研究人员发现SynAck勒索软件木马的一个最新变种使用Doppelg?nging注入技术在合法进程中隐藏自身,以躲避反病毒安全检测。这是Doppelg?nging注入技术首次在野外的勒索软件中被使用。SynAck幕后的开发人员还是用了多种其它手段来躲避检测和分析:在样例编译之前混淆所有恶意软件代码,如果有迹象显示自己是在沙箱中运行,则退出。
SynAck勒索软件于2017年秋天被发现,当年的12月份,我们观察到该恶意软件利用远程桌面协议(DP)对使用英语的用户实施暴力攻击,之后手动下载和安装恶意软件。卡巴斯基实验室研究人员最新发现的变种采用了更为复杂的办法,使用Doppelg?nging注入技术来躲避检测。
Doppelg?nging注入技术在2017年12月被报告出来,该技术涉及无文件代码注入,它利用内置的Windows功能和Windows流程加载程序的一种未记录功能实现。通过操纵Windows处理文件的方式,攻击者可以将恶意行为伪装成无害的行为,合法进程,甚至使用已知的恶意代码。Doppelg?nging注入技术不会留下任何可追踪的证据,使得这类入侵很难检测。这是使用Doppelg?nging注入技术的勒索软件首次在野外被发现。最新SynAck变种其它值得关注的功能还包括:
木马在编译之前对其可执行代码进行了混淆处理,而不是像大多数其他勒索软件那样对其进行打包,使得研究热源很难对其进行逆向工程和分析其恶意代码。
它还对API函数的链接进行了模糊化,存储的是字符串的哈希值,而非真正的字符串。
安装后,木马会检查其可执行文件的启动目录,如果发现尝试从“错误”目录启动它(例如潜在的自动沙箱),他将立刻退出。
如果受害者的计算机将键盘设置为西里尔文字符,恶意软件也会退出而不执行任何操作。
加密受害者设备上的文件之前,SynAck会检查所有运行的进程和服务的哈希值,并于自己列表中的进行对比。如果发现有匹配,则杀死该进程。以这种方式阻止的进程包括虚拟机、办公应用程序、脚本解释程序、数据库应用程序、备份系统、游戏应用程序等——这样做的原因可能是为了更容易地加密有价值的文件,否则这些文件可能与运行的进程绑定在一起。
研究人员认为使用这种最新SynAck变种的攻击是高度针对性的。迄今为止,他们在美国、科威特、德国和伊朗发现了少量攻击,赎金要求为3,000美元。
卡巴斯基实验室将SynAck的这种变种检测为:
Trojan-Ransom.Win32.Agent.abwa
Trojan-Ransom.Win32.Agent.abwb
PDM:Trojan.Win32.Generic
扫描下方二维码关注卡巴365
获取最新鲜专业的国际安全资讯和分析