セキュリティ対策ソフトによる検出が極めて困難なハッキング手法の「Process Doppelganging(プロセス ドッペルギャンギング)」が、
2017年12月にBlack Hat Europe 2017で発表されていましたが、ついにProcess Doppelgangingを活用した初めてのマルウェア「SynAck」の存在が確認されました。
Process Doppelgangingではメモリに書き込むことはせずストレージ上でNTFSトランザクションを始動してマルウェアなどに命令を出します。
その後トランザクションは即座に破棄されるため痕跡が残らず、セキュリティ対策ソフトによる検出が非常に難しいという特性を持ちます。
Kaspersky Labの研究者が、Process Doppelganging技術を用いたマルウェア(トランザムウェア)を発見しました。このマルウェアは「SynAck」の亜種で、アメリカ、クウェート、ドイツ、イランをターゲットにしているとのこと。
マルウェア自体は2017年9月に発見されていましたが、リバースエンジニアリングを防止するべくコードの難読化対策が施されていたそうです。
なお、SynAckはロシア、ベラルーシ、ウクライナ、ジョージア、タジキスタン、カザフスタン、ウズベキスタンのユーザーには感染しない設定になっていたことも確認されています。
https://i.gzn.jp/img/2018/05/08/synack-process-doppelganging/a01.png
感染するとSynAckはAES-256-ECBアルゴリズムでファイルを暗号化し、攻撃者の要求に従うことで解読鍵を渡すといういわゆるランサムウェアとしての本領を発揮します。
ついにセキュリティ対策ソフトで検出できない攻撃「Process Doppelganging」を利用したマルウェアの存在が確認される - GIGAZINE
https://gigazine.net/news/20180508-synack-process-doppelganging/
>アメリカ、クウェート、ドイツ、イランをターゲットにしている
>ロシア、ベラルーシ、ウクライナ、ジョージア、タジキスタン、カザフスタン、ウズベキスタンのユーザーには感染しない