【悲報】ついにセキュリティソフトでは完全に検出・対応不可能なランサムウェアが登場

[0001 名無しさん＠涙目です。(アラビア) [US] 2018/05/09(水) 06:12:11.42 ID:p1Rr5yjR0]

セキュリティ対策ソフトによる検出が極めて困難なハッキング手法の「Process Doppelganging(プロセス ドッペルギャンギング)」が、
2017年12月にBlack Hat Europe 2017で発表されていましたが、ついにProcess Doppelgangingを活用した初めてのマルウェア「SynAck」の存在が確認されました。

Process Doppelgangingではメモリに書き込むことはせずストレージ上でNTFSトランザクションを始動してマルウェアなどに命令を出します。
その後トランザクションは即座に破棄されるため痕跡が残らず、セキュリティ対策ソフトによる検出が非常に難しいという特性を持ちます。

Kaspersky Labの研究者が、Process Doppelganging技術を用いたマルウェア(トランザムウェア)を発見しました。このマルウェアは「SynAck」の亜種で、アメリカ、クウェート、ドイツ、イランをターゲットにしているとのこと。
マルウェア自体は2017年9月に発見されていましたが、リバースエンジニアリングを防止するべくコードの難読化対策が施されていたそうです。
なお、SynAckはロシア、ベラルーシ、ウクライナ、ジョージア、タジキスタン、カザフスタン、ウズベキスタンのユーザーには感染しない設定になっていたことも確認されています。
https://i.gzn.jp/img/2018/05/08/synack-process-doppelganging/a01.png

感染するとSynAckはAES-256-ECBアルゴリズムでファイルを暗号化し、攻撃者の要求に従うことで解読鍵を渡すといういわゆるランサムウェアとしての本領を発揮します。

ついにセキュリティ対策ソフトで検出できない攻撃「Process Doppelganging」を利用したマルウェアの存在が確認される - GIGAZINE
https://gigazine.net/news/20180508-synack-process-doppelganging/

＞アメリカ、クウェート、ドイツ、イランをターゲットにしている
＞ロシア、ベラルーシ、ウクライナ、ジョージア、タジキスタン、カザフスタン、ウズベキスタンのユーザーには感染しない

[0002 名無しさん＠涙目です。(西日本) [US] 2018/05/09(水) 06:12:40.86 ID:DYyAii9B0]

ロシアに草

[0003 名無しさん＠涙目です。(チベット自治区) [ﾆﾀﾞ] 2018/05/09(水) 06:13:18.80 ID:UtOiqs3v0]

昔からあるだろ

[0004 名無しさん＠涙目です。(やわらか銀行) [UA] 2018/05/09(水) 06:13:47.54 ID:zSKqljd10]

何言ってるかわからん

[0005 名無しさん＠涙目です。(茸) [GB] 2018/05/09(水) 06:14:45.30 ID:l3b+ClvT0]

東側のサイバー兵器

[0006 名無しさん＠涙目です。(埼玉県) [US] 2018/05/09(水) 06:14:48.05 ID:Ph7Pz1Ka0]

　
これアベどーすんの？
　
　

[0007 名無しさん＠涙目です。(WiMAX) [BE] 2018/05/09(水) 06:15:19.84 ID:XQuSZUh70]

露助滅びろ

[0008 名無しさん＠涙目です。(静岡県) [AT] 2018/05/09(水) 06:15:49.59 ID:Xtry4yLA0]

名倉余裕

[0009 名無しさん＠涙目です。(東京都) [GU] 2018/05/09(水) 06:18:19.89 ID:sBFxmN6x0]

何も操作してないのにhddがカリカリいう時は
このウィルスに感染してる確率が高い

[0010 名無しさん＠涙目です。(やわらか銀行) [CN] 2018/05/09(水) 06:20:36.16 ID:cxUtqTVF0]

トォランザクゥショォォンッ！

[0011 名無しさん＠涙目です。(東京都) [FR] 2018/05/09(水) 06:22:14.35 ID:3MqnFeR80]

2017年9月まで読んだ

[0012 名無しさん＠涙目です。(庭) [IN] 2018/05/09(水) 06:24:25.65 ID:2JM7j17e0]

犯人モロバレやんけ

[0013 名無しさん＠涙目です。(長野県) [US] 2018/05/09(水) 06:31:31.89 ID:xTkeiHPp0]

北の仕業？核放棄で次の武器か

[0014 名無しさん＠涙目です。(茸) [ﾆﾀﾞ] 2018/05/09(水) 06:34:19.75 ID:0j586+n40]

>>6
ネット遮断

[0015 名無しさん＠涙目です。(茸) [US] 2018/05/09(水) 06:37:35.10 ID:18Pl8o+K0]

変なサイトには行くなってことで良いですか

[0016 名無しさん＠涙目です。(チベット自治区) [IR] 2018/05/09(水) 06:37:51.44 ID:HRx9bv7C0]

国の判別はどうやってんだろ？
発動しない様に誤魔化せないのかな？

[0017 名無しさん＠涙目です。(catv?) [ﾆﾀﾞ] 2018/05/09(水) 06:42:56.08 ID:kI5cKCHs0]

>>16
ソースに載ってたよ

[0018 名無しさん＠涙目です。(石川県) [US] 2018/05/09(水) 06:45:30.14 ID:VPl6GJEl0]

ロシア製品は優秀だねえ

[0019 名無しさん＠涙目です。(静岡県) [AT] 2018/05/09(水) 06:46:28.05 ID:Xtry4yLA0]

困難なハッキング手法のまで読んだ

[0020 名無しさん＠涙目です。(東京都) [ﾆﾀﾞ] 2018/05/09(水) 06:48:59.42 ID:L2eta0yX0]

FAT32を使え

[0021 名無しさん＠涙目です。(玉音放送) [US] 2018/05/09(水) 06:52:41.79 ID:jbfze+R20]

ロシアとウクライナって戦争してるのに
ウクライナには感染しないというロシアさんの優しさ
さすがロジーナ(祖国)ですな

[0022 名無しさん＠涙目です。(山梨県) [ES] 2018/05/09(水) 07:02:57.52 ID:AV5y1yC10]

会社の同僚がいまだにメーラーのプレビュー機能オンのままで驚愕した

[0023 名無しさん＠涙目です。(茸) [CO] 2018/05/09(水) 07:03:27.59 ID:SarRUs7O0]

チャリンコメーカーの仕業か
やっぱチャリカスは最低だな

[0024 名無しさん＠涙目です。(京都府) [US] 2018/05/09(水) 07:04:58.69 ID:jbfze+R20]

ロシア政府が作って
カスペが解析する

[0025 名無しさん＠涙目です。(アラビア) [BR] 2018/05/09(水) 07:11:14.94 ID:MAiOFozU0]

AES256bitで暗号化されてもNSAとかなら楽勝で解読できるだろ？

[0026 名無しさん＠涙目です。(東京都) [IT] 2018/05/09(水) 07:12:41.05 ID:M3Tph3uZ0]

>>10
ラン サーーームッ！！

[0027 名無しさん＠涙目です。(catv?) [US] 2018/05/09(水) 07:21:09.08 ID:6I/Se4uF0]

>>6
電話して日本も非攻撃者対象に追加して貰う

[0028 名無しさん＠涙目です。(静岡県) [AT] 2018/05/09(水) 07:39:15.80 ID:Xtry4yLA0]

>>15
ν速に来ている時点で終わったな…

[0029 名無しさん＠涙目です。(東京都) [MX] 2018/05/09(水) 07:46:29.49 ID:armgXti80]

ロシアには感染しないのか
すぐに中国、北朝鮮版がつくられそう

[0030 名無しさん＠涙目です。(茸) [US] 2018/05/09(水) 08:03:19.36 ID:NpSItdNi0]

ドッフルギャンガ

[0031 名無しさん＠涙目です。(庭) [CN] 2018/05/09(水) 08:11:28.80 ID:wL7OUMkg0]

＞SynAckは、ユーザーの国を特定するために、まずPCにインストールされているキーボードレイアウトとマルウェア内のリストを照合します。
＞リストとの一致が確認されると300秒間のスリープ状態を経て、ExitProcessを呼び出してファイルの暗号化を阻止するとのこと。
お前らもキーボードレイアウトをロシア仕様にするといいぞ！

[0032 名無しさん＠涙目です。(青森県) [US] 2018/05/09(水) 08:20:22.09 ID:OvWkgxVz0]

>>31
ロシア語で考えろということか