Persbericht: Nieuwe variant SynAck ransomware omzeilt beveiliging met geavanceerde Doppelgänging-techniek



Utrecht, 7 mei 2018 – Onderzoekers van Kaspersky Lab hebben een nieuwe variant van het Trojan-virus SynAck ontdekt. Deze ransomware gebruikt de Doppelgänging-techniek: het virus nestelt zich in legitieme processen en omzeilt zo de antivirusbeveiliging. Het is voor het eerst dat de Doppelgänging-techniek in ransomware ‘in het wild’ is waargenomen. De ontwikkelaars van SynAck passen nog meer trucjes toe om detectie en analyse te omzeilen. Zo wordt voorafgaand aan de compilatie alle malwarcode onleesbaar gemaakt en het programma onmiddellijk afgesloten bij het vermoeden dat het in een sandbox draait.

De SynAck ransomware is sinds het najaar van 2017 bekend. In december werd geconstateerd dat de ransomware het voornamelijk op Engelstalige gebruikers heeft voorzien. Eerst vindt er een brute aanval plaats met behulp van RDP (remote desktop protocol), waarna de malware handmatig wordt gedownload en geïnstalleerd. De nieuwe variant die onderzoekers van Kaspersky Lab hebben ontdekt, gaat veel verfijnder te werk met de Process Doppelgänging-techniek die detectie omzeilt.

De in december 2017 gerapporteerde Process Doppelgänging-techniek valt onder fileless malware. Hierbij wordt de code direct in het geheugen geladen, zonder bestand. De code maakt gebruik van een ingebouwde Windows-functie en ongedocumenteerde implementatie van de Windows process loader. De manier waarop Windows bestandstransacties verwerkt wordt gemanipuleerd. Hierdoor kunnen de kwaadaardige acties zich voordoen als onschuldige, legitieme processen. Zélfs als er een code wordt gebruikt die al bekend is. Doppelgänging la>

Lees verder..

BizPress.nl