TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

Process Doppelgänging / プロセスドッペルギャンギング (まとめ)

【目次】

概要

【概要】

■Process Doppelgängingとは

  • Process Hollowing に似た手法
    • Process Hollowingはメモリ上に代替プログラムをInjection するため、検知は不可能ではない
    • Process Doppelgängingではメモリに書き込むことはせずストレージ上でNTFSトランザクションを始動してマルウェアなどに命令を出す
    • トランザクションは即座に破棄されるため痕跡が残らない(検知されない)

記事

【ニュース】

◆ついにセキュリティ対策ソフトで検出できない攻撃「Process Doppelgänging」を利用したマルウェアの存在が確認される (Gigazine, 2018/05/08 14:00)
https://gigazine.net/news/20180508-synack-process-doppelganging/
https://malware-log.hatenablog.com/entry/2018/05/08/000000

◆ウイルス検知を回避する手法「Dopperganging」を使うランサムウェアが登場 (ZDNet, 2018/05/09 13:36)
https://japan.zdnet.com/article/35118853/
https://malware-log.hatenablog.com/entry/2018/05/09/000000_3

◆対策ソフトをすり抜けるウイルス ロシア企業が注意呼びかけ (日経新聞, 2018/05/09 10:59)
https://www.nikkei.com/article/DGXMZO30242840Z00C18A5X35000/
https://malware-log.hatenablog.com/entry/2018/05/09/000000

【ブログ】

◆SynAck targeted ransomware uses the Doppelgänging technique (SecureList, 2018/05/07)
https://securelist.com/synack-targeted-ransomware-uses-the-doppelganging-technique/85431/
https://malware-log.hatenablog.com/entry/2018/05/07/000000_4

◆SynAck targeted ransomware uses the Doppelgänging technique (SecureList, 2018/05/07)
https://securelist.com/synack-targeted-ransomware-uses-the-doppelganging-technique/85431/
https://malware-log.hatenablog.com/entry/2018/05/07/000000_4

◆SynAck:プロセスドッペルギャンギングで検知を回避するランサムウェア (Kaspersky, 2018/5/11)
https://blog.kaspersky.co.jp/synack-ransomware-featured/20327/
https://malware-log.hatenablog.com/entry/2018/05/11/000000_1

【公開情報】

◆Lost in Transaction: Process Doppelgänging (Tal Liberman; Eugene Kogan, 2017/12/04)
https://www.blackhat.com/docs/eu-17/materials/eu-17-Liberman-Lost-In-Transaction-Process-Doppelganging.pdf
https://malware-log.hatenablog.com/entry/2017/12/04/000000_6

関連情報

【関連まとめ記事】

全体まとめ

◆攻撃手法 (まとめ)
https://malware-log.hatenablog.com/entry/Attack_Method


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023