【悲報】ついにセキュリティソフトでは完全に検出・対応不可能なランサムウェアが登場

0001名無しさん＠涙目です。(アラビア) [US]2018/05/09(水) 06:12:11.42ID:p1Rr5yjR0?2BP(2000)

セキュリティ対策ソフトによる検出が極めて困難なハッキング手法の「Process Doppelganging(プロセス ドッペルギャンギング)」が、
2017年12月にBlack Hat Europe 2017で発表されていましたが、ついにProcess Doppelgangingを活用した初めてのマルウェア「SynAck」の存在が確認されました。

Process Doppelgangingではメモリに書き込むことはせずストレージ上でNTFSトランザクションを始動してマルウェアなどに命令を出します。
その後トランザクションは即座に破棄されるため痕跡が残らず、セキュリティ対策ソフトによる検出が非常に難しいという特性を持ちます。

Kaspersky Labの研究者が、Process Doppelganging技術を用いたマルウェア(トランザムウェア)を発見しました。このマルウェアは「SynAck」の亜種で、アメリカ、クウェート、ドイツ、イランをターゲットにしているとのこと。
マルウェア自体は2017年9月に発見されていましたが、リバースエンジニアリングを防止するべくコードの難読化対策が施されていたそうです。
なお、SynAckはロシア、ベラルーシ、ウクライナ、ジョージア、タジキスタン、カザフスタン、ウズベキスタンのユーザーには感染しない設定になっていたことも確認されています。
https://i.gzn.jp/img/2018/05/08/synack-process-doppelganging/a01.png

感染するとSynAckはAES-256-ECBアルゴリズムでファイルを暗号化し、攻撃者の要求に従うことで解読鍵を渡すといういわゆるランサムウェアとしての本領を発揮します。

ついにセキュリティ対策ソフトで検出できない攻撃「Process Doppelganging」を利用したマルウェアの存在が確認される - GIGAZINE
https://gigazine.net/news/20180508-synack-process-doppelganging/

＞アメリカ、クウェート、ドイツ、イランをターゲットにしている
＞ロシア、ベラルーシ、ウクライナ、ジョージア、タジキスタン、カザフスタン、ウズベキスタンのユーザーには感染しない

0002名無しさん＠涙目です。(西日本) [US]2018/05/09(水) 06:12:40.86ID:DYyAii9B0

ロシアに草

0003名無しさん＠涙目です。(チベット自治区) [ﾆﾀﾞ]2018/05/09(水) 06:13:18.80ID:UtOiqs3v0

昔からあるだろ

0004名無しさん＠涙目です。(やわらか銀行) [UA]2018/05/09(水) 06:13:47.54ID:zSKqljd10

何言ってるかわからん

0005名無しさん＠涙目です。(茸) [GB]2018/05/09(水) 06:14:45.30ID:l3b+ClvT0

東側のサイバー兵器

0006名無しさん＠涙目です。(埼玉県) [US]2018/05/09(水) 06:14:48.05ID:Ph7Pz1Ka0

　
これアベどーすんの？
　
　

0007名無しさん＠涙目です。(WiMAX) [BE]2018/05/09(水) 06:15:19.84ID:XQuSZUh70

露助滅びろ

0008名無しさん＠涙目です。(静岡県) [AT]2018/05/09(水) 06:15:49.59ID:Xtry4yLA0

名倉余裕

0009名無しさん＠涙目です。(東京都) [GU]2018/05/09(水) 06:18:19.89ID:sBFxmN6x0

何も操作してないのにhddがカリカリいう時は
このウィルスに感染してる確率が高い

0010名無しさん＠涙目です。(やわらか銀行) [CN]2018/05/09(水) 06:20:36.16ID:cxUtqTVF0

トォランザクゥショォォンッ！

0011名無しさん＠涙目です。(東京都) [FR]2018/05/09(水) 06:22:14.35ID:3MqnFeR80

2017年9月まで読んだ

0012名無しさん＠涙目です。(庭) [IN]2018/05/09(水) 06:24:25.65ID:2JM7j17e0

犯人モロバレやんけ

0013名無しさん＠涙目です。(長野県) [US]2018/05/09(水) 06:31:31.89ID:xTkeiHPp0

北の仕業？核放棄で次の武器か

0014名無しさん＠涙目です。(茸) [ﾆﾀﾞ]2018/05/09(水) 06:34:19.75ID:0j586+n40

>>6
ネット遮断

0015名無しさん＠涙目です。(茸) [US]2018/05/09(水) 06:37:35.10ID:18Pl8o+K0

変なサイトには行くなってことで良いですか

0016名無しさん＠涙目です。(チベット自治区) [IR]2018/05/09(水) 06:37:51.44ID:HRx9bv7C0

国の判別はどうやってんだろ？
発動しない様に誤魔化せないのかな？

0017名無しさん＠涙目です。(catv?) [ﾆﾀﾞ]2018/05/09(水) 06:42:56.08ID:kI5cKCHs0

>>16
ソースに載ってたよ

0018名無しさん＠涙目です。(石川県) [US]2018/05/09(水) 06:45:30.14ID:VPl6GJEl0

ロシア製品は優秀だねえ

0019名無しさん＠涙目です。(静岡県) [AT]2018/05/09(水) 06:46:28.05ID:Xtry4yLA0

困難なハッキング手法のまで読んだ

0020名無しさん＠涙目です。(東京都) [ﾆﾀﾞ]2018/05/09(水) 06:48:59.42ID:L2eta0yX0

FAT32を使え

0021名無しさん＠涙目です。(玉音放送) [US]2018/05/09(水) 06:52:41.79ID:jbfze+R20

ロシアとウクライナって戦争してるのに
ウクライナには感染しないというロシアさんの優しさ
さすがロジーナ(祖国)ですな

0022名無しさん＠涙目です。(山梨県) [ES]2018/05/09(水) 07:02:57.52ID:AV5y1yC10

会社の同僚がいまだにメーラーのプレビュー機能オンのままで驚愕した

0023名無しさん＠涙目です。(茸) [CO]2018/05/09(水) 07:03:27.59ID:SarRUs7O0

チャリンコメーカーの仕業か
やっぱチャリカスは最低だな

0024名無しさん＠涙目です。(京都府) [US]2018/05/09(水) 07:04:58.69ID:jbfze+R20

ロシア政府が作って
カスペが解析する

0025名無しさん＠涙目です。(アラビア) [BR]2018/05/09(水) 07:11:14.94ID:MAiOFozU0

AES256bitで暗号化されてもNSAとかなら楽勝で解読できるだろ？

0026名無しさん＠涙目です。(東京都) [IT]2018/05/09(水) 07:12:41.05ID:M3Tph3uZ0

>>10
ラン サーーームッ！！

0027名無しさん＠涙目です。(catv?) [US]2018/05/09(水) 07:21:09.08ID:6I/Se4uF0

>>6
電話して日本も非攻撃者対象に追加して貰う

0028名無しさん＠涙目です。(静岡県) [AT]2018/05/09(水) 07:39:15.80ID:Xtry4yLA0

>>15
ν速に来ている時点で終わったな…

0029名無しさん＠涙目です。(東京都) [MX]2018/05/09(水) 07:46:29.49ID:armgXti80

ロシアには感染しないのか
すぐに中国、北朝鮮版がつくられそう

0030名無しさん＠涙目です。(茸) [US]2018/05/09(水) 08:03:19.36ID:NpSItdNi0

ドッフルギャンガ

0031名無しさん＠涙目です。(庭) [CN]2018/05/09(水) 08:11:28.80ID:wL7OUMkg0

＞SynAckは、ユーザーの国を特定するために、まずPCにインストールされているキーボードレイアウトとマルウェア内のリストを照合します。
＞リストとの一致が確認されると300秒間のスリープ状態を経て、ExitProcessを呼び出してファイルの暗号化を阻止するとのこと。
お前らもキーボードレイアウトをロシア仕様にするといいぞ！

0032名無しさん＠涙目です。(青森県) [US]2018/05/09(水) 08:20:22.09ID:OvWkgxVz0

>>31
ロシア語で考えろということか