【目次】
概要
【概要】
■Process Doppelgängingとは
- Process Hollowing に似た手法
- Process Hollowingはメモリ上に代替プログラムをInjection するため、検知は不可能ではない
- Process Doppelgängingではメモリに書き込むことはせずストレージ上でNTFSトランザクションを始動してマルウェアなどに命令を出す
- トランザクションは即座に破棄されるため痕跡が残らない(検知されない)
記事
【ニュース】
◆ついにセキュリティ対策ソフトで検出できない攻撃「Process Doppelgänging」を利用したマルウェアの存在が確認される (Gigazine, 2018/05/08 14:00)
https://gigazine.net/news/20180508-synack-process-doppelganging/
⇒ https://malware-log.hatenablog.com/entry/2018/05/08/000000
◆ウイルス検知を回避する手法「Dopperganging」を使うランサムウェアが登場 (ZDNet, 2018/05/09 13:36)
https://japan.zdnet.com/article/35118853/
⇒ https://malware-log.hatenablog.com/entry/2018/05/09/000000_3
◆対策ソフトをすり抜けるウイルス ロシア企業が注意呼びかけ (日経新聞, 2018/05/09 10:59)
https://www.nikkei.com/article/DGXMZO30242840Z00C18A5X35000/
⇒ https://malware-log.hatenablog.com/entry/2018/05/09/000000
【ブログ】
◆SynAck targeted ransomware uses the Doppelgänging technique (SecureList, 2018/05/07)
https://securelist.com/synack-targeted-ransomware-uses-the-doppelganging-technique/85431/
⇒ https://malware-log.hatenablog.com/entry/2018/05/07/000000_4
◆SynAck targeted ransomware uses the Doppelgänging technique (SecureList, 2018/05/07)
https://securelist.com/synack-targeted-ransomware-uses-the-doppelganging-technique/85431/
⇒ https://malware-log.hatenablog.com/entry/2018/05/07/000000_4
◆SynAck:プロセスドッペルギャンギングで検知を回避するランサムウェア (Kaspersky, 2018/5/11)
https://blog.kaspersky.co.jp/synack-ransomware-featured/20327/
⇒ https://malware-log.hatenablog.com/entry/2018/05/11/000000_1
【公開情報】
◆Lost in Transaction: Process Doppelgänging (Tal Liberman; Eugene Kogan, 2017/12/04)
https://www.blackhat.com/docs/eu-17/materials/eu-17-Liberman-Lost-In-Transaction-Process-Doppelganging.pdf
⇒ https://malware-log.hatenablog.com/entry/2017/12/04/000000_6