【IT】ついにセキュリティ対策ソフトで検出できない攻撃「Process Doppelganging」を利用したマルウェアの存在が確認される
■ このスレッドは過去ログ倉庫に格納されています
◆ついにセキュリティ対策ソフトで検出できない攻撃「Process Doppelganging」を利用したマルウェアの存在が確認される
セキュリティ対策ソフトによる検出が極めて困難なハッキング手法の「Process Doppelganging(プロセス ドッペルギャンギング)」が、2017年12月にBlack Hat Europe 2017で発表されていましたが、ついにProcess Doppelgangingを活用した初めてのマルウェア「SynAck」の存在が確認されました。
SynAck targeted ransomware uses the Doppelganging technique - Securelist
https://securelist.com/synack-targeted-ransomware-uses-the-doppelganging-technique/85431/
First-Ever Ransomware Found Using ‘Process Doppelganging’ Attack to Evade Detection
https://thehackernews.com/2018/05/synack-process-doppelganging.html
(PDFファイル)Process Doppelgangingは「Process Hollowing(プロセス ハロウィング)」に類似したコードインジェクションツールで、悪意あるコードがプロセスを強制的に停止させ、代替コードを注入するハッキング技術です。
Process HollowingではWindowsの「explorer.exe」などの正当かつごく一般的なプロセスを悪意のあるコードの隠れみのにしますが、実行ファイルの命令はメモリに直接書き込まれるため、セキュリティ対策ソフトによる検出が可能です。
これに対して、Process Doppelgangingではメモリに書き込むことはせずストレージ上でNTFSトランザクションを始動してマルウェアなどに命令を出します。
その後トランザクションは即座に破棄されるため痕跡が残らず、セキュリティ対策ソフトによる検出が非常に難しいという特性を持ちます。
Kaspersky Labの研究者が、Process Doppelganging技術を用いたマルウェア(トランザムウェア)を発見しました。
このマルウェアは「SynAck」の亜種で、アメリカ、クウェート、ドイツ、イランをターゲットにしているとのこと。
マルウェア自体は2017年9月に発見されていましたが、リバースエンジニアリングを防止するべくコードの難読化対策が施されていたそうです。
Kaspersky Labが突き止めた、ハッシュ値とAPI関数の対応は以下の通り。
https://i.gzn.jp/img/2018/05/08/synack-process-doppelganging/a03_m.png
SynAckは、ユーザーの国を特定するために、まずPCにインストールされているキーボードレイアウトとマルウェア内のリストを照合します。
リストとの一致が確認されると300秒間のスリープ状態を経て、ExitProcessを呼び出してファイルの暗号化を阻止するとのこと。
なお、SynAckはロシア、ベラルーシ、ウクライナ、ジョージア、タジキスタン、カザフスタン、ウズベキスタンのユーザーには感染しない設定になっていたことも確認されています。
https://i.gzn.jp/img/2018/05/08/synack-process-doppelganging/a01_m.png
感染するとSynAckはAES-256-ECBアルゴリズムでファイルを暗号化し、攻撃者の要求に従うことで解読鍵を渡すといういわゆるランサムウェアとしての本領を発揮します。
https://i.gzn.jp/img/2018/05/08/synack-process-doppelganging/a02_m.png
また、SynAckはレジストリ内のLegalNoticeCaptionやLegalNoticeTextを変更することで、Windowsのログイン画面に任意のテキストを追加することも可能だとのこと。
PC起動時に攻撃されたことをユーザーに知らせることもできます。
https://i.gzn.jp/img/2018/05/08/synack-process-doppelganging/a04_m.png
Kaspersky LabはProcess Doppelganging採用のSynAckがどのように広がっているのかという感染経路について明らかにしていませんが、ほとんどのマルウェアがフィッシングメールやウェブ上の悪質な広告バナー、サードパーティ製のアプリなどを経由していることから、これらの作業はより慎重に行う必要があります。
Process Doppelganging採用マルウェアの検出がセキュリティ対策ソフトで困難なことから、大切なファイルは定期的に外部にバックアップする習慣をつけるなどのごく一般的な対応しか採れない、というのが現状のようです。
GIGAZINE 2018年05月08日 14時00分
https://gigazine.net/news/20180508-synack-process-doppelganging/ / ̄ ̄ ̄Y ̄ ̄ \
l l
ヽ,,,,,/  ̄ ̄ ̄ ̄ ヽノ
|::::: ι l
|::: __ _ | ソウルを火の海にするニダ
(6 \●> <●人
! ι ι )・・( l
ヽ (三) ノ 【2get☆】
/\ 二 ノ
/⌒ヽ. `ー ─ 一' \
l | ヽo ヽ
非韓三原則「関わらない・教えない・助けない」
ネトウヨ、怒りのウンコ投げwwwwwwwwwwwww
http://mainichi.jp/articles/20160315/ddm/041/040/134000c
横浜市の韓国総領事館で2015年12月に「靖国爆破への報復」などと書かれた不審物が見つかった事件で、
神奈川県警は14日、不審物を投げ込んだとして横浜市戸塚区の無職の男(23)を威力業務妨害などの容疑で逮捕した。
軽度の知的障害があるが、容疑を認めているという。
逮捕容疑は15年12月11日午後1時5分ごろ、同市中区の韓国総領事館敷地内に、人の排せつ物が入った
紙製の靴箱を投げ入れたとしている。
同年11月に靖国神社(東京都千代田区)の公衆トイレで爆発音がした事件で韓国籍の男が逮捕、起訴されており、
動機との関連を調べている。
この手のものは公になるとしばらくして
支那朝鮮で亜種が誕生して日本をターゲットに
するんだよね >なお、SynAckはロシア、ベラルーシ、ウクライナ、ジョージア、タジキスタン、カザフスタン、ウズベキスタンのユーザーには感染しない設定
>カスペルスキー
あ、 Process Doppelgangingではメモリに書き込むことはせずストレージ上でNTFSトランザクションを始動してマルウェアなどに命令を出します。
その後トランザクションは即座に破棄されるため痕跡が残らず、セキュリティ対策ソフトによる検出が非常に難しいという特性を持ちます。
その「ストレージ上でNTFSトランザクションを始動してマルウェアなどに命令を」仕込むコードは何処に書かれるんだね 相手が望むことを排除せずに好きなようにさせてやればいいだろ。 それよりWindows10の1803アップデートが全然できなくてUpdate→ロールバックが繰り返して
すでに10回目なのだが。クリーンインストールしかないのか・・・
Windows10のアップデートが毎回糞過ぎてもう捨てたい。
林檎の方がいいや。疲れたわ。 >>13
NTFSトランザクションの始動で指示を出されるマルウェアがどこに居るのかとか、なんかそれっぽいこと書いてあるだけで実際なんだかよくわからんな。 >>17
Windowsの隠しフォルダが2つあるから、それを削除してアップデートすると良いよ >>1
セキュリティ対策ソフトで検出できないウイルス
LINE
Windows10
Android
で、OK? >>1
こういうの作ったやつ 何とかして探し出して、拷問の上で火あぶり死刑とかにしないと
いつまでも 出続けるわな。
一族郎党含めての拷問死刑とかしないと。 素人に解るように書かないと言う事は素人は知らなくてもいいと言う事かな? |┃三 ,ィ, (fー--─‐- 、、
|┃. ,イ/〃 ヾ= 、
|┃ N { \
|┃ ト.l ヽ l
ガラッ.|┃ 、ゝ丶 ,..ィ从 |
|┃ \`.、_ _,. _彡'ノリ__,.ゝ、 | / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
|┃三 `ゞf‐>n;ハ二r^ァnj< y=レヽ < 話は聞かせてもらったぞ!
|┃. |fjl、 ` ̄リj^ヾ)  ̄´ ノ レ リ | 諦めろ人類ども!
|┃三 ヾl.`ー- べl,- ` ー-‐' ,ン \____________
|┃ l r─‐-、 /:|
|┃三 ト、 `二¨´ ,.イ |
|┃ _亅::ヽ、 ./ i :ト、
|┃ -‐''「 F′:: `:ー '´ ,.' フ >ー、
|┃ ト、ヾ;、..__ , '_,./ /l >ロシア、ベラルーシ、ウクライナ、ジョージア、タジキスタン、カザフスタン、ウズベキスタンのユーザーには感染しない設定になっていたことも確認されています
どう考えてもプー様のさしがねやないか そんな事よりWin10のアップデートテロ何とかしてくれ… 5chを利用していると、たまにウィルス検知ソフトが反応するぞ
その都度、ブロックしているが何なんだ? >>15
> 俺の家のMZ80Bも感染するんか!
まだうごくのか! そりゃそうだろう
番組で太平洋に夕日を沈められるんだから
何でも達成できるわな >>13
はあ?
コード自体はファイルに書かれてあるに決まってるじゃん。 >>17
そもそもなんで入れようとしたんだ?
あるいは入れようと思ったならなんでセーブポイント作っておかなかった? >>24
別に対策作れば良いだけだからそこまでの話じゃない。
例えば、インフルエンザは皮膚からの接触感染するけど、一般の人は飛沫感染はわかるけど接触感染は知らなかったりする。
それと同じ、なんでランサムウェアが動き出したのかわからないだけ。
今のまともなシステムなら書き戻して終わりだ。 >>19
アッセンブリーコードからどのDLLを動かすから、プロセスのスタックの積み方から、なんでも懇切丁寧に書いてあるのになんでわからないの?
これでわからないなら、そもそも理解できるわけないよ。 >>25
プロセスのログがなくても、コード載ってるファイルはあるだろうに、馬鹿は黙ってろ。 >>26
その通り。
馬鹿が対策できることはない。 >>1
OSレベルで非公開コードは実行できなくすれば防ぐことはできるんじゃないか >>1
> SynAckはロシア、ベラルーシ、ウクライナ、ジョージア、タジキスタン、カザフスタン、ウズベキスタンのユーザーには感染しない設定になっていたことも確認されています。
なるほどw >>48
そのレベルの知識でなんで意味があることが言えると思った? >>25
検出したんじゃなくてウィルス対策ソフトが「検出できない」手法を見つけたこと確認した >悪意あるコードがプロセスを強制的に停止させ、代替コードを注入するハッキング技術です。
OSの自動アップデートで配布? どう気を付ければ良いのか
ご教示のほどよろしくお願いいたします >>55
きっとまた感染する
広告に仕込まれてたらどうしようもない ウィルススキャンソフトってぶっちゃけEXEの読み書きぐらいしか見てないから
セクタにRAWでアクセスしたら分からんよな バックアップしかないね
まめにやろうね
必要になった時ほど取るのさぼってた時 >>57
ランサムって本当バカだと思うの
仕掛けたヤツは「パソコン命!ブヒー!」なんだろうが、
こっちはパソコンやそのデータはいつ捨てても構わん
俺だけに限らず、よくよく考えると誰しもがそうであるはず
狭量な世界観を見せつけられてる気がして、なんとも不憫でならんわ >>60
ただのビジネスだからな
そういう個人は相手にしてない
振り込め詐欺と同じで数撃てば当たるというだけ >>57
仕込まれるような怪しいところに入り浸るのを前提とするなアホ。 15年分、50テラ以上のエロ動画を大切に持ってる俺が「データはゴミ」と言うのだから間違いない
エロ動画全滅したらハイキングを趣味にしようと思う
今度こそ健全に生きようと思う >>65
広告サーバーの問題だからどのサイトでも感染の可能性がある
怪しいサイトに限定する意味がない
広告ブロックが簡単で無難な対策になる >>67
悪用されたNTFSはWindows固有のファイルシステムなので大丈夫 >>60
まじめにやってるのか素直に戻す保障もないんだし
データ破壊系や誤フォーマット事故と本質的には変わらない メモリにロードしなくてもプログラムって実行できるものなんだ?
どういう原理かさっぱりわからんが >>72
ありだとん
ReFSはトランザクションNTFSサポートしてないとあるけどどうですかね? リンク先を読んだら攻撃手法じゃなくて感染したマルウェアが自分の身を隠す手法だった。
実行犯になるプロセスを特殊な一時ファイルから起動することで本体の所在を分かりにくくしているらしい。
Porcess Doppelgaengering 自体はちょっとした目くらましで、難読化の技術の方がすごい。 >>76訂正 Process Doppelgaenging とうとうドッペルギャンガーの存在が明るみに出てしまったか… >>67 >>72
LinuxやmacOSでは実行中のプログラムのファイルを消すことができる
(そのプログラムが終了するまでは一種の隠しファイルになる)
からNTFS固有の機能を使わなくても同じような身の隠し方が簡単にできる。 そのトランザクションNTFSとやらを動作しないように設定しとけば防げるの? 怪しいセキュリティソフトをインストールさせようとする詐欺広告に飛ばされることがある
pixivやスマニューやら普通のサイトでなるから困る ロシア系各国ユーザーには感染しない。
Kasperskyが発見。
犯人分かりました。 今日読んだラノベに書いてあったな
「薬を売るなら毒を盛れ」 >>1
ああ、わかった。とんでもなく恐ろしいマルウェアだな。
で、感染経路は?まさか添付ダブルクリックや野良アプリのインストールじゃないだろうね?
道端に落ちてる物拾って食ったら、そりゃ病気になるわ。 何かさっきから、Google chrome のタブに変な表示が現れる
あなたは当選しました! とか、妙なのが・・・。
キングソフトで検知出来ないみたいだから、chrome で有害ウイルスが無いか調べている >>87
XMを開いていたからかな?表示されなくなった
ひょっとすると海外メールも原因かも知れん
調べてみる >>84
AVAST! を入れてとんでもない目に合ったから、それからキングソフトを入れている
あと、ノートンも重いし使い辛い いずれ電源コードやLANケーブルに仕込まれたウィルスとか出るだろな
空気中に仕込まれたウィルスとかも出るだろう 不祥事で辞めた官僚が首相への腹いせに
官庁の文書持ち出して新聞に持ち込むみたいな人間の悪意は
セキュリティ対策ソフトじゃ検知できないね >>87
それ、自分のにも出るわ。
なんか悪い奴? ■ このスレッドは過去ログ倉庫に格納されています