Nova verzija ransomwarea SynAck koristi tehniku koja mu pomaže da izbegne antiviruse

Opisi virusa, 09.05.2018, 11:00 AM

Istraživači kompanije Kaspersky Lab otkrili su novu verziju ransomwarea SynAck koja koristi tehniku dvojnika procesa (Process Doppelgänging) da bi zaobišla antivirusne programe, krijući se unutar legitimnih procesa.

Ova sofisticirana tehnika je prvi put prezentovana u decembru prošle godine na konferenciji BlackHat. Od tada, nekoliko malvera je počelo da koristi ovu tehniku.

Prošlog meseca, istraživači Kaspersky Laba primetili su prvi ransomware koji koristi ovu tehniku - ransomware SynAck. SynAck nije novi malver - za njega se zna od septembra prošle godine, ali je sada privukao pažnju stručnjaka za bezbednost zbog toga što koristi Process Doppelgänging tehniku.

Programeri koji stoje iza SynAcka koriste i druge trikove kako bi izbegli detekciju i analizu: oni koriste obfuscator kako bi "zamračili" kod malvera i izlazak iz aplikacije ako je malver pokrenut u okviru sandboxa.

U decembru prošle godine primećeno je da SynAck napada uglavnom korisnike koji govore engleski jezik, preko RDP-a (Remote Desktop Protocol) i da je reč o tzv. brute-force napadu nakon kojeg sledi preuzimanje i instaliranje malvera. Nova verzija primenjuje daleko sofisticiraniji pristup sa tehnikom dvojnika procesa.

Tehnika dvojnika procesa podrazumeva ubacivanje koda koji zloupotrebljava Windowsov mehanizam NTFS transakcija fajlova da bi se sakrili maliciozni procesi, i izbegla detekcija od strane antivirusnog softvera. Na ovaj način napadači mogu da poture zlonamerne aktivnosti kao bezopasne, legitimne procese, čak i ako koriste već poznati maliciozni kod.

Tehnika dvojnika ne ostavlja iza sebe nikakakve vidljive tragove, što ovu vrstu napada čini veoma teškom za detektovanje.

Zanimljivo je da malver neće uraditi ništa ako računar žrtve koristi neko ćirilično pismo.

Pre nego što šifruje fajlove na uređaju žrtve, SynAck proverava hash funkcije svih pokrenutih procesa i servisa, koristeći u tu svrhu svoju nepromenjivu listu. Ako pronađe podudarnost on pokušava da prekine taj proces. Procesi koji se ovako blokiraju uključuju virtuelne mašine, kancelarijske programe, tumače skripti, aplikacije baze podataka, backup sisteme, aplikacije za gejming i ostale - najverovatnije kako bi se olakšalo zauzimanje vrednih fajlova koji bi inače bili zarobljeni u ovim pokrenutim procesima.

Istraživači misle da su napadi koji koriste ovu novu verziju SynAck ransomwarea ciljani napadi. Do sada je uočen ograničen broj napada u SAD, Kuvajtu, Nemačkoj i Iranu, gde se od žrtava tražilo da plate 3000 dolara.

„Trka između napadača i branilaca u okviru sajber prostora je neprekidna. Sposobnost tehnike dvojnika procesa da prikrije malver od najnovijih bezbednosnih mera predstavlja značajnu pretnju; pretnju koju su, očekivano, napadači veoma brzo iskoristili. Naše istraživanje pokazuje kako je SynAck, targetirani ransomware relativno niskog profila, iskoristio ovu tehniku kako bi poboljšao svoje sposobnosti prikradanja i infekcije. Na sreću, logika detekcije za ovaj ransomware je primenjena pre nego što se on pojavio na internetu,“ izjavio je Anton Ivanov, glavni analitičar malvera u kompaniji Kaspersky Lab.

Stručnjaci Kaspersky Laba preporučuje da redovno pravite rezervne kopije podataka, da koristite pouzdani antivirus i da uvek ažurirate softver na uređajima.

U slučaju preduzeća, trebalo bi edukovati zaposlene i IT timove, a osetljive podatke treba čuvati odvojeno, sa ograničenim pristupom.

Međutim, sve i ako vam se dogodi infekcija nekim ransomwareom - nemojte paničiti, poručuju iz Kaspersky Laba savetujući korisnicima da u tom slučaju pristupe njihovom sajtu No More Ransom sa nekog drugog, nekompromitovanog sistema, jer na ovom sajtu ćete možda naći alat koji vam može pomoći da povratite vaše fajlove.