Ransomware SynAck si nyní poradí s antivirem i se sandboxem

Na novou variantu ransomwarového trojana SynAck upozorňuje Kaspersky Lab. Trojan podle jeho odborníků využívá Process Doppelgänging techniku, díky níž je schopen obejít antivirové zabezpečení a nenechat se odhalit v sandboxu.

Prostřednictvím techniky Process Doppelgänging, kterou odborníci u ransomwaru zaznamenali poprvé, schovají kyberzločinci svou zákeřnou aktivitu za oprávněné procesy. Hackeři stojící za SynAck využívají i další triky, aby se vyhnuli detekování. Ještě před kompilací vzorků veškerý malwarový kód skryjí a v případě, že mají podezření na testování prostřednictvím sandboxu, daný systém opustí.

Ransomware SynAck se objevil na podzim minulého roku a v průběhu prosince útočil na převážně anglofonní uživatele. K poměrně agresivním útokům využíval síťový protokol remote desktop protocol (RDP), po jehož iniciaci následovalo manuální stažení a instalace malwaru. Nová varianta objevená odborníky Kaspersky Lab však využívá sofistikovanější metody, kdy se pomocí techniky Process Doppelgänging vyvaruje své detekci.

Technika Process Doppelgänging

Technika Process Doppelgänging zahrnuje bezsouborovou injektáž kódu, která využívá zabudované Windowsové funkce a neoprávněnou implementaci systémové komponenty označované jako Windows process loader. Manipulací s tím, jak Windows zpracovává soubory, mohou útočníci do systému dostat škodlivé aktivity. Ty tímto způsobem vydávají za neškodné, i když používají běžně známé škodlivé kódy. Doppelgänging po sobě nezanechává žádné stopy, což velmi znesnadňuje jeho detekování. Využití této techniky bylo u ransomwaru pozorováno vůbec poprvé.

Mezi další zajímavé charakteristiky nové varianty ransomwaru SynAck patří:

• Trojský kůň dokáže skrýt svůj spustitelný kód před kompilací (na rozdíl od většiny ransomwarů), což znemožňuje bezpečnostním odborníků provést reverzní inženýrství a analyzovat škodlivý kód.
• SynAck také zakrývá odkazy na API funkce.
• Po instalaci trojan přezkoumá adresář, ze kterého je spuštěn jeho spustitelný soubor, a pokud zaznamená pokus o jeho spuštění z „nesprávného“ adresáře – například potenciálního automatizovaného sandboxu – sám se vymaže.
• Malware se také vymaže, pokud je klávesnice oběti nastavená na azbuku.

Před zašifrováním souborů na napadeném počítači SynAck porovná hashe všech běžících procesů a služeb se svým hard-coded listem. Pokud nalezne nějakou shodu, pokusí se daný proces zastavit. Mezi takto zablokované procesy patří virtuální stroje, kancelářské aplikace, script interpreters, databázové aplikace, zálohovací systémy, hry a další. Kyberzločinci si tím usnadňují získání cenných souborů, které by jinak byly vázány na běžící procesy.

Kyberbezpečnostní odborníci jsou přesvědčeni, že útoky využívající novou variantu SynAck jsou velmi dobře zacílené. Doposud zaznamenali několik útoků na území Spojených států, Kuvajtu, Německa a Íránu. Kyberzločinci po obětech vyžadovali výkupné ve výši 3 000 dolarů.