TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

SynAck:プロセスドッペルギャンギングで検知を回避するランサムウェア

【図表】


身代金要求メッセージ
出典: https://blog.kaspersky.co.jp/synack-ransomware-featured/20327/


【概要】

  • SynAckとは
    • Process Doppelgängingという手法を使用
    • コンパイル前にコードを厳重に難読化
  • プロセスドッペルギャンギングとは
    • NTFSファイルシステムの一部機能とWindows XP以降の全Windowsに搭載のプロセスローダーを利用
  • その他のSynAckの機能
    • 正しいディレクトリにインストールされているかを自己チェックする機能(サンドボックスによる検知回避)
    • 感染したコンピューターのキーボード設定を確認する機能 (マルウェアの活動を特定地域に限定)
    • キーボード設定がキリル文字の場合は動作


【ブログ】

◆SynAck:プロセスドッペルギャンギングで検知を回避するランサムウェア (Kaspersky, 2018/5/11)
https://blog.kaspersky.co.jp/synack-ransomware-featured/20327/


【関連まとめ記事】

全体まとめ
 ◆攻撃手法 (まとめ)

◆Process Doppelgänging (まとめ)
https://malware-log.hatenablog.com/entry/Process_Doppelganging

 ◆偽装手法 (まとめ)

◆検知回避 (まとめ)
https://malware-log.hatenablog.com/entry/Detection_Avoidance


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023