Nova varijanta SynAck rensomvera koristi sofisticiranu tehniku dvojnika (Doppelgänging) da izbegne bezbednosne programe

ransomware

Istraživači kompanije Kaspersky Lab otkrili su novu varijantu SynAck rensomver trojanca koja koristi tehniku dvojnika (Doppelgänging) da zaobiđe bezbednosne antivirus programe tako što se krije unutar legitimnih procesa. Ovo je prvi put da je tehnika dvojnika uočena u okviru rensomvera korišćenih na internetu. Developeri koji stoje iza SynAcka takođe koriste druge trikove kako bi izbegli detekciju i analiziranje: zamućivanje svog malver koda pre kompilacije uzorka i izlazak iz aplikacije ako znakovi ukazuju na to da je malver pokrenut u okviru sandboxa.

SynAck rensomver je poznat od jeseni 2017. godine, a u decembru je primećeno da napada uglavnom korisnike koji govore engleski jezik, preko protokola udaljenog desktopa (RDP – Remote Desktop Protocol) i napada „grubom silom” (brute-force attacks) nakon kojeg sledi ručno skidanje i instaliranje malvera. Nova varijanta koju su otkrili istraživači kompanije Kaspersky Lab primenjuje daleko sofisticiraniji pristup, koristeći tehniku dvojnika procesa kako bi izbegli detekciju.

Tehnika dvojnika procesa, koja je zabeležena u decembru 2017. godine, sastoji se od injekcije koda bez fajla koja koristi već prisutne funkcije Windowsa i nedokumentovanu implementaciju učitavanja procesa u okviru Windowsa. Manipulišući time kako Windows upravlja transakcijama fajlova, napadači mogu da poture zlonamerne aktivnosti kao bezopasne, legitimne procese, čak iako koriste već poznati zlonameran kod. Tehnika dvojnika ne ostavlja iza sebe nikakakve vidljive tragove, što je čini ovu vrstu upada veoma teškim za detektovanje. Ovo je prvi put da je primećeno korišćenje ove tehnike u okviru rensomvera korišćenih na internetu.

Druge upečatljive karakteristike nove varijante SynAcka uključuju:

·        Trojanac zamućuje svoj izvršivi kod pre kompilacije, umesto da ga upakuje kao većina drugih rensomvera, otežavajući istraživačima da sprovedu analize i obrnuti inženjering nad zlonamernim kodom.

·        On takođe skriva linkove koji vode ka neophodnim API funkcijama, i čuva u sebi heš funkcije koji vode ka stringovima umesto samih stringova.

·        Prilikom instalacije, trojanac analizira direktorijum iz koga je njegov izvršni fajl pokrenut, i ako primeti pokušaj da se on pokrene iz „neispravnog“ direktorijuma – poput recimo nekog automatizovanog sandboxa – on prekida program.

·        Malver takođe prekida program ako računar potencijalne žrtve koristi neko ćirilično pismo.

·        Pre nego što enkriptuje fajlove na uređaju žrtve, SynAck proverava heš funkcije svih pokrenutih procesa i servisa naspram svoje nepromenjive liste. Ako nađe neko podudaranje on pokušava da prekine taj proces. Procesi koji se ovako blokiraju uklučuju virtuelne mašine, kancelarijske aplikacije, tumače skripti, aplikacije baze podataka, bekap sisteme, aplikacije za gejming i ostale – najverovatnije kako bi olakšali zauzimanje vrednih fajlova koji bi inače bili zarobljeni u ovim pokrenutim procesima.

Istraživači veruju da su napadi koji koriste ovu novu varijantu SynAck rensomvera visoko targetirani. Do danas, uočili su ograničen broj napada u SAD, Kuvajtu, Nemačkoj i Iranu, gde su iznosi traženi za otkupninu iznosili po 3.000 dolara.

„Trka između napadača i branilaca u okviru sajber prostora je neprekidna. Sposobnost tehnike dvojnika procesa da prikrije malver od najnovijih bezbednosnih mera predstavlja značajnu pretnju; pretnju koju su, očekivano, napadači veoma brzo iskoristili. Naše istraživanje pokazuje kako je SynAck, targetirani rensomver relativno niskog profila, iskoristio ovu tehniku kako bi poboljšao svoje sposobnosti prikradanja i infekcije. Na sreću, logika detekcije za ovaj rensomver je primenjena pre nego što se on pojavio na internetu,“ izjavio je Anton Ivanov, glavni analitičar malvera u kompaniji Kaspersky Lab.

Kompanija Kaspersky Lab je detektovala ovu varijantu SynAck rensomvera kao:

Trojan-Ransom.Win32.Agent.abwa

Trojan-Ransom.Win32.Agent.abwb

PDM:Trojan.Win32.Generic

Kompanija Kaspersky Lab preporučuje preduzimanje sledećih mera kako bi se korisnici i uređaji zaštitili od rensomvera:

·        Regularno bekapujte podatake.

·        Koristite pouzdano bezbednosno rešenje koje je osnaženo detekcijom ponašanja i poseduje mogućnosti poništavanja zlonamernih akcija.

·        Uvek ažurirajte softver na svim uređajima koje koristite.

·        U slučaju preduzeća, trebalo bi da edukujete svoje zaposlene i IT timove; i da čuvate osetljive podatke odvojeno sa ograničenim pristupom. Koristite specijalizovano bezbednosno rešenje, poput rešenja Kaspersky Endpoint Security for Business.

·        Ako vas snađe ta nesreća da postanete žrtva nekog enkriptora, nemojte paničiti. Pristupite našem No More Ransom sajtu sa nekog drugog, nekompromitovanog sistema; i na njemu ćete možda naći alat koji vam može pomoći da povratite vaše fajlove.