by Katy Levinson
1 :ニライカナイφ ★ 2018/05/08(火) 22:30:29.05 ID:CAP_USER9.net
セキュリティ対策ソフトによる検出が極めて困難なハッキング手法の「Process Doppelganging(プロセス ドッペルギャンギング)」が、2017年12月にBlack Hat Europe 2017で発表されていましたが、ついにProcess Doppelgangingを活用した初めてのマルウェア「SynAck」の存在が確認されました。

(PDFファイル)Process Doppelgangingは「Process Hollowing(プロセス ハロウィング)」に類似したコードインジェクションツールで、悪意あるコードがプロセスを強制的に停止させ、代替コードを注入するハッキング技術です。Process HollowingではWindowsの「explorer.exe」などの正当かつごく一般的なプロセスを悪意のあるコードの隠れみのにしますが、実行ファイルの命令はメモリに直接書き込まれるため、セキュリティ対策ソフトによる検出が可能です。

これに対して、Process Doppelgangingではメモリに書き込むことはせずストレージ上でNTFSトランザクションを始動してマルウェアなどに命令を出します。その後トランザクションは即座に破棄されるため痕跡が残らず、セキュリティ対策ソフトによる検出が非常に難しいという特性を持ちます。

Kaspersky Labの研究者が、Process Doppelganging技術を用いたマルウェア(トランザムウェア)を発見しました。このマルウェアは「SynAck」の亜種で、アメリカ、クウェート、ドイツ、イランをターゲットにしているとのこと。

マルウェア自体は2017年9月に発見されていましたが、リバースエンジニアリングを防止するべくコードの難読化対策が施されていたそうです。Kaspersky Labが突き止めた、ハッシュ値とAPI関数の対応は以下の通り。
https://i.gzn.jp/img/2018/05/08/synack-process-doppelganging/a03_m.png

SynAckは、ユーザーの国を特定するために、まずPCにインストールされているキーボードレイアウトとマルウェア内のリストを照合します。リストとの一致が確認されると300秒間のスリープ状態を経て、ExitProcessを呼び出してファイルの暗号化を阻止するとのこと。なお、SynAckはロシア、ベラルーシ、ウクライナ、ジョージア、タジキスタン、カザフスタン、ウズベキスタンのユーザーには感染しない設定になっていたことも確認されています。(後略)

https://gigazine.net/news/20180508-synack-process-doppelganging/



4 :名無しさん@1周年 2018/05/08(火) 22:32:25.42 ID:hJNy5n8t0.net
何年も前から使ってたんじゃねえのこのマルウェア


6 :名無しさん@1周年 2018/05/08(火) 22:35:12.22 ID:qAMw4FdG0.net
まじかよ
でもカスペならなんとかしてくれる



7 :名無しさん@1周年 2018/05/08(火) 22:36:30.88 ID:w8IZgZzu0.net
この手のものは公になるとしばらくして
支那朝鮮で亜種が誕生して日本をターゲットに
するんだよね




11 :名無しさん@1周年 2018/05/08(火) 22:43:17.19 ID:XZAggrD20.net
なんだカスペが振り撒いてるのか


12 :名無しさん@1周年 2018/05/08(火) 22:43:19.98 ID:+duT6UKD0.net
またロシアか


14 :名無しさん@1周年 2018/05/08(火) 22:49:01.84 ID:MQFoO+Wk0.net
元が中露っぽいな



24 :名無しさん@1周年 2018/05/08(火) 23:19:02.91 ID:jXIXsqDE0.net
抗生物質が効かない耐性菌みたいなものか?


42 :名無しさん@1周年 2018/05/08(火) 23:45:13.73 ID:jLdmF0CC0.net
>>24
別に対策作れば良いだけだからそこまでの話じゃない。

例えば、インフルエンザは皮膚からの接触感染するけど、一般の人は飛沫感染はわかるけど接触感染は知らなかったりする。
それと同じ、なんでランサムウェアが動き出したのかわからないだけ。

今のまともなシステムなら書き戻して終わりだ。



25 :名無しさん@1周年 2018/05/08(火) 23:20:17.55 ID:h1WhUpsL0.net
え?どうやって検出したんですか?


52 :名無しさん@1周年 2018/05/09(水) 00:08:13.21 ID:+NPNyQwG0.net
>>25
検出したんじゃなくてウィルス対策ソフトが「検出できない」手法を見つけたこと確認した



29 :名無しさん@1周年 2018/05/08(火) 23:26:21.47 ID:XEtuNsYM0.net
>ロシア、ベラルーシ、ウクライナ、ジョージア、タジキスタン、カザフスタン、ウズベキスタンのユーザーには感染しない設定になっていたことも確認されています

どう考えてもプー様のさしがねやないか



34 :名無しさん@1周年 2018/05/08(火) 23:35:49.78 ID:70sa9MrB0.net
windowsなんて捨てちゃいなよ


49 :名無しさん@1周年 2018/05/09(水) 00:01:24.73 ID:3Qlu+45l0.net
もう仮想OSシステムにしよう



55 :名無しさん@1周年 2018/05/09(水) 00:13:33.86 ID:v5b/wr8j0.net
OS再インストールしたらええがな


57 :名無しさん@1周年 2018/05/09(水) 00:16:08.43 ID:51A+aShG0.net
>>55
きっとまた感染する
広告に仕込まれてたらどうしようもない


65 :名無しさん@1周年 2018/05/09(水) 00:28:25.01 ID:5mwaWYpV0.net
>>57
仕込まれるような怪しいところに入り浸るのを前提とするなアホ。


69 :名無しさん@1周年 2018/05/09(水) 00:32:37.09 ID:wzr4mUb90.net
>>65
広告サーバーの問題だからどのサイトでも感染の可能性がある
怪しいサイトに限定する意味がない
広告ブロックが簡単で無難な対策になる



58 :名無しさん@1周年 2018/05/09(水) 00:17:40.36 ID:oUHZO88t0.net
ウィルススキャンソフトってぶっちゃけEXEの読み書きぐらいしか見てないから
セクタにRAWでアクセスしたら分からんよな



63 :名無しさん@1周年 2018/05/09(水) 00:27:21.18 ID:wzr4mUb90.net
>>58
もう少し見てます




59 :名無しさん@1周年 2018/05/09(水) 00:19:48.01 ID:VfTKLKkb0.net
バックアップしかないね
まめにやろうね
必要になった時ほど取るのさぼってた時



68 :名無しさん@1周年 2018/05/09(水) 00:31:29.22 ID:v5b/wr8j0.net
15年分、50テラ以上のエロ動画を大切に持ってる俺が「データはゴミ」と言うのだから間違いない
エロ動画全滅したらハイキングを趣味にしようと思う
今度こそ健全に生きようと思う



71 :名無しさん@1周年 2018/05/09(水) 00:36:49.25 ID:tXtqF1Ch0.net
>>68
応援するわw


106 :名無しさん@1周年 2018/05/09(水) 20:22:19.34 ID:96+8wFUv0.net
>>68
とんでもいいやなんてデータがかわいそうだから、謹んで頂戴したく…



74 :名無しさん@1周年 2018/05/09(水) 00:47:20.82 ID:HpJD2Lum0.net
メモリにロードしなくてもプログラムって実行できるものなんだ?
どういう原理かさっぱりわからんが



76 :名無しさん@1周年 2018/05/09(水) 01:22:15.94 ID:mxiYdTpi0.net
リンク先を読んだら攻撃手法じゃなくて感染したマルウェアが自分の身を隠す手法だった。
実行犯になるプロセスを特殊な一時ファイルから起動することで本体の所在を分かりにくくしているらしい。
Process Doppelganging 自体はちょっとした目くらましで、難読化の技術の方がすごい。



78 :名無しさん@1周年 2018/05/09(水) 01:31:37.35 ID:JQd/frYG0.net
とうとうドッペルギャンガーの存在が明るみに出てしまったか…



84 :名無しさん@1周年 2018/05/09(水) 02:14:30.42 ID:f50OhQoD0.net
ロシア系各国ユーザーには感染しない。
Kasperskyが発見。

犯人分かりました。





(´・ω・`) これはあからさまにあやしい…


ESET ファミリー セキュリティ (最新版) | 5台3年版 | カード版 | Win/Mac/Android対応
キヤノンITソリューションズ (2017-04-01)
売り上げランキング: 1

元スレ: http://ai.2ch.sc/test/read.cgi/newsplus/1525786229/