1: 名無しさん@涙目です。(アラビア) [US] 2018/05/09(水) 06:12:11.42 ID:p1Rr5yjR0
セキュリティ対策ソフトによる検出が極めて困難なハッキング手法の「Process Doppelganging(プロセス ドッペルギャンギング)」が、2017年12月にBlack Hat Europe 2017で発表されていましたが、ついにProcess Doppelgangingを活用した初めてのマルウェア「SynAck」の存在が確認されました。

Process Doppelgangingではメモリに書き込むことはせずストレージ上でNTFSトランザクションを始動してマルウェアなどに命令を出します。
その後トランザクションは即座に破棄されるため痕跡が残らず、セキュリティ対策ソフトによる検出が非常に難しいという特性を持ちます。

Kaspersky Labの研究者が、Process Doppelganging技術を用いたマルウェア(トランザムウェア)を発見しました。このマルウェアは「SynAck」の亜種で、アメリカ、クウェート、ドイツ、イランをターゲットにしているとのこと。
マルウェア自体は2017年9月に発見されていましたが、リバースエンジニアリングを防止するべくコードの難読化対策が施されていたそうです。
なお、SynAckはロシア、ベラルーシ、ウクライナ、ジョージア、タジキスタン、カザフスタン、ウズベキスタンのユーザーには感染しない設定になっていたことも確認されています。
01


感染するとSynAckはAES-256-ECBアルゴリズムでファイルを暗号化し、攻撃者の要求に従うことで解読鍵を渡すといういわゆるランサムウェアとしての本領を発揮します。

ついにセキュリティ対策ソフトで検出できない攻撃「Process Doppelganging」を利用したマルウェアの存在が確認される - GIGAZINE
https://gigazine.net/news/20180508-synack-process-doppelganging/

2: 名無しさん@涙目です。(西日本) [US] 2018/05/09(水) 06:12:40.86 ID:DYyAii9B0
ロシアに草

15: 名無しさん@涙目です。(茸) [US] 2018/05/09(水) 06:37:35.10 ID:18Pl8o+K0
変なサイトには行くなってことで良いですか

16: 名無しさん@涙目です。(チベット自治区) [IR] 2018/05/09(水) 06:37:51.44 ID:HRx9bv7C0
国の判別はどうやってんだろ?
発動しない様に誤魔化せないのかな?

31: 名無しさん@涙目です。(庭) [CN] 2018/05/09(水) 08:11:28.80 ID:wL7OUMkg0
>SynAckは、ユーザーの国を特定するために、まずPCにインストールされているキーボードレイアウトとマルウェア内のリストを照合します。
>リストとの一致が確認されると300秒間のスリープ状態を経て、ExitProcessを呼び出してファイルの暗号化を阻止するとのこと。
お前らもキーボードレイアウトをロシア仕様にするといいぞ!

32: 名無しさん@涙目です。(青森県) [US] 2018/05/09(水) 08:20:22.09 ID:OvWkgxVz0
>>31
ロシア語で考えろということか

12: 名無しさん@涙目です。(庭) [IN] 2018/05/09(水) 06:24:25.65 ID:2JM7j17e0
犯人モロバレやんけ

18: 名無しさん@涙目です。(石川県) [US] 2018/05/09(水) 06:45:30.14 ID:VPl6GJEl0
ロシア製品は優秀だねえ

引用元:http://hayabusa9.5ch.net/test/read.cgi/news/1525813931/

4: 名無しさん@1周年 2018/05/08(火) 22:32:25.42 ID:hJNy5n8t0
何年も前から使ってたんじゃねえのこのマルウェア

6: 名無しさん@1周年 2018/05/08(火) 22:35:12.22 ID:qAMw4FdG0
まじかよ
でもカスペならなんとかしてくれる

24: 名無しさん@1周年 2018/05/08(火) 23:19:02.91 ID:jXIXsqDE0
抗生物質が効かない耐性菌みたいなものか?

42: 名無しさん@1周年 2018/05/08(火) 23:45:13.73 ID:jLdmF0CC0
>>24
別に対策作れば良いだけだからそこまでの話じゃない。

例えば、インフルエンザは皮膚からの接触感染するけど、一般の人は飛沫感染はわかるけど接触感染は知らなかったりする。
それと同じ、なんでランサムウェアが動き出したのかわからないだけ。

今のまともなシステムなら書き戻して終わりだ。

30: 名無しさん@1周年 2018/05/08(火) 23:29:27.04 ID:z+4RjpF30
トランザムッ!!

50: 名無しさん@1周年 2018/05/09(水) 00:05:58.04 ID:Zmj+RQ5q0
>>1
> SynAckはロシア、ベラルーシ、ウクライナ、ジョージア、タジキスタン、カザフスタン、ウズベキスタンのユーザーには感染しない設定になっていたことも確認されています。

なるほどw

25: 名無しさん@1周年 2018/05/08(火) 23:20:17.55 ID:h1WhUpsL0
え?どうやって検出したんですか?

45: 名無しさん@1周年 2018/05/08(火) 23:57:04.16 ID:jLdmF0CC0
>>25
プロセスのログがなくても、コード載ってるファイルはあるだろうに、馬鹿は黙ってろ。

52: 名無しさん@1周年 2018/05/09(水) 00:08:13.21 ID:+NPNyQwG0
>>25
検出したんじゃなくてウィルス対策ソフトが「検出できない」手法を見つけたこと確認した

26: 名無しさん@1周年 2018/05/08(火) 23:21:20.25 ID:Neo6wtss0
素人に解るように書かないと言う事は素人は知らなくてもいいと言う事かな?

32: 名無しさん@1周年 2018/05/08(火) 23:30:53.06 ID:z+4RjpF30
そんな事よりWin10のアップデートテロ何とかしてくれ…

56: 名無しさん@1周年 2018/05/09(水) 00:14:52.35 ID:m4/G/PoV0
どう気を付ければ良いのか
ご教示のほどよろしくお願いいたします

70: 名無しさん@1周年 2018/05/09(水) 00:35:45.84 ID:KejafQ9o0
マッチポンプですか

59: 名無しさん@1周年 2018/05/09(水) 00:19:48.01 ID:VfTKLKkb0
バックアップしかないね
まめにやろうね
必要になった時ほど取るのさぼってた時

10: 名無しさん@1周年 2018/05/08(火) 22:42:28.97 ID:fla4VRfv0
なるほど分からん

引用元:http://asahi.5ch.net/test/read.cgi/newsplus/1525786229/

スポンサード リンク