SynAck Ransomware umgeht Virenschutz durch Doppelgänger-Technik

Dies scheint die erste Ransomware zu sein, die diese ausgefeilte Technik nutzt, um Virenschutz zu umgehen.

Forscher haben den scheinbar ersten Fall entdeckt, in dem Ransomware eine ausgefeilte Technik, Doppelgänger genannt, nutzt um der Entdeckung durch Virenschutz zu entgehen.

Am Montag haben Experten von Kaspersky Lab in einer Sicherheitswarnung gemeldet, dass eine Variante der SynAck Ransomware entdeckt wurde, die diese ausgefeilte Technik nutzt.

SynAck ist nicht neu. Die Ransomware wurde 2017 entdeckt und unterscheidet sich von standardmäßiger Ransomware auf mehrere Arten. Während SynAck das bewährte Rezept von Infektion, Verschlüsselung und einer Erpressungsnachricht verwendet, in der nach Geld für die Zustellung eines Keys zur Entschlüsselung gefragt wird, nutzt die Ransomware kein Zahlungsportal.

Statt dessen verlangen die Nutzer von SynAck dass die Opfer die Zahlung, üblicherweise in Bitcoin (BTC), per E-Mail oder durch eine BitMessage ID durchführen. Die Lösegeldforderung kann bis zu 3.000 $ betragen.

Während diese Malware bisher noch nichts Besonderes war, hat das Auftreten einer Variante, die Doppelgänger-Technik nutzt, die Forscher zum Aufmerken gebracht.

Prozess Doppelgänging wurde erstmalig von enSilo Forschern bei Black Hat Europe im letzten Jahr vorgestellt.

Die Angriffstechnik ist auf das Microsoft Windows Betriebssystem ausgelegt und ist dafür gedacht, traditionelle Virenschutz Software zu umgehen, indem sie ausnutzt, wie sie mit Speicherprozessen umgeht.

Prozess Doppelgänging maskiert ausführbare Dateien und ändert sie, indem es legitime Dateien überschreibt im Kontext von transaktionalem NTFS. Ein Bereich dieser Transaktionen wird mit schädlichem Code überschrieben, der auf eine ausführbare Datei verweist, welche dann geladen wird, was zur Erstellung eines Prozesses auf der veränderten ausführbaren Datei führt.

Dies ist bekannt als Prozess Hollowing, die Erstellung eines Prozesses nur um schädliche Dateien ausführen zu können.

Während viele Virenschutz Produkte fähig sind, solche Techniken zu erkennen und zu unterbinden, wandelt Doppelgänging die Transaktionen wieder in legitime Zustände um, und dadurch bleibt keine Spur des Angriffs zurück — was die Antivirus Software davon abhält, solche Aktivitäten zu entdecken.

Jeder Code ist dann in der Lage, im Kontext eines legitimen Prozesses zu laufen. enSilo zu Folge ist Doppelgänging ein dateiloser Angriff und kann nicht mit Patches aufgehalten werden, da es „fundamentale Eigenschaften und das Grunddesign des Prozess-Lademechanismus in Windows ausnutzt.“

Forscher von Kaspersky Labs sagen, dass neben der Nutzung von Doppelgänging, SynAck auch versuchen wird, Programme die im Zusammenhang mit virtuellen Geräten stehen, Office Software, Backup-Systeme und mehr vom Laufen abzuhalten.

„Es tut dies, um sich selbst Zugriff auf wertvolle Dateien zu geben, die sonst von den laufenden Prozessen genutzt werden könnten,“ so die Forscher.

Außerdem wurde die Malware gründlich getarnt vor der Kompilation und verschlüsselt, was eine Reverse Engineering zu einer schweren Aufgabe macht.

Angriffe mit der neuen Variante von SynAck wurden aus den USA, Kuwait, Deutschland und dem Iran berichtet.

Kaspersky glaubt, dass die Ransomware gezielt vorgeht, vor allem weil die Malware den Status eines infizierten Gerätes gegen eine feste Liste von Ländern und Sprachen gegencheckt.

Wen ein Opfer in einem Land außerhalb der Liste lebt, wird keine Verschlüsselung von Dateien stattfinden und die Malware verschwindet wieder.

„Die Fähigkeit zur Prozess Doppelgänging Technik um Malware an den neuesten Sicherheitsmaßnahmen vorbei zu schmuggeln stellt eine beträchtliche Gefahr dar; eine, die nicht überraschenderweise, schnell von Angreifern ausgenutzt wurde,“ sagt Anton Ivanov, der leitende Malware Analyst bei Kaspersky Lab. „Unsere Nachforschungen zeigen, die recht unauffällige, gezielt arbeitende Ransomware SynAck die Technik nutzt, um Ihre Fähigkeit zu vergrößern, heimlich zu infizieren. Zum Glück wurde die Technik zur Erkennung dieser Ransomware eingeführt, bevor sie im Einsatz gefunden wurde.“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.