卡巴斯基实验室研究人员发现SynAck勒索软件木马的一个最新变种使用分身手段在合法进程中隐藏自身,以躲避反病毒安全检测。这是分身手段首次在野外的勒索软件中被使用。SynAck幕后的开发人员还是用了多种其它手段来躲避检测和分析:在样例编译之前混淆所有恶意软件代码,如果有迹象显示自己是在沙箱中运行,则退出。
SynAck勒索软件于2017年秋天被发现,当年的12月份,我们观察到该恶意软件利用远程桌面协议(DP)对使用英语的用户实施暴力攻击,之后手动下载和安装恶意软件。卡巴斯基实验室研究人员最新发现的变种采用了更为复杂的办法,使用进程分身技术来躲避检测。
进程分身技术在2017年12月被报告出来,该技术涉及无文件代码注入,它利用内置的Windows功能和Windows流程加载程序的一种未记录功能实现。通过操纵Windows处理文件的方式,攻击者可以将恶意行为伪装成无害的行为,合法进程,甚至使用已知的恶意代码。分身技术不会留下任何可追踪的证据,使得这类入侵很难检测。这是使用分身技术的勒索软件首次在野外被发现。最新SynAck变种其它值得关注的功能还包括:
- 木马在编译之前对其可执行代码进行了混淆处理,而不是像大多数其他勒索软件那样对其进行打包,使得研究热源很难对其进行逆向工程和分析其恶意代码。
- 它还对API函数的链接进行了模糊化,存储的是字符串的哈希值,而非真正的字符串。
- 安装后,木马会检查其可执行文件的启动目录,如果发现尝试从“错误”目录启动它(例如潜在的自动沙箱),他将立刻退出。
- 如果受害者的计算机将键盘设置为西里尔文字符,恶意软件也会退出而不执行任何操作。
加密受害者设备上的文件之前,SynAck会检查所有运行的进程和服务的哈希值,并于自己列表中的进行对比。如果发现有匹配,则杀死该进程。以这种方式阻止的进程包括虚拟机、办公应用程序、脚本解释程序、数据库应用程序、备份系统、游戏应用程序等——这样做的原因可能是为了更容易地加密有价值的文件,否则这些文件可能与运行的进程绑定在一起。
研究人员认为使用这种最新SynAck变种的攻击是高度针对性的。迄今为止,他们在美国、科威特、德国和伊朗发现了少量攻击,赎金要求为3,000美元。
“网络空间中的攻击者和防御者之间的竞赛是永无止境的。进程分身技术将恶意软件绕过最新的安全措施的能力代表着重大威胁;而这种技术不出意料地会很快被攻击者所采用。我们的研究显示,相对低调的针对性勒索软件SynAck如何使用这种技术来升级自己的隐蔽能力和感染能力。幸运的是,针对这种勒索软件的检测逻辑在它在野外出现之前就已经实现了,”卡巴斯基实验室首席恶意软件分析师Anton Ivanov说。
卡巴斯基实验室将SynAck的这种变种检测为:
Trojan-Ransom.Win32.Agent.abwa
Trojan-Ransom.Win32.Agent.abwb
PDM:Trojan.Win32.Generic
卡巴斯基实验室建议采取以下行动来确保用户和设备安全:
- 定期备份数据。
- 使用可靠的具有行为检测功能以及回滚恶意行为功能的安全解决方案。
- 确保所有设备上的软件保持更新。
- 如果您是一家企业,还应该对您的员工和IT团队进行安全培训;利用访问限制确保敏感数据安全。使用专门的安全解决方案,例如卡巴斯基网络安全解决方案。
- 如果很不幸您成为加密勒索软件的受害者,不要惊慌。使用干净的系统访问No More Ransom网站;您可能会在上面发现解密工具,可以帮助您找回文件。
要了解更多有关SynAck最新变种的详情,请查看我们发表在Securelist.com上的博文。
