SynAck Ransomware สายพันธุ์ใหม่ ใช้เทคนิค Process Doppelgänging หลบหลีกการตรวจจับ

หลังจากที่ enSiilo บริษัททางด้านความมั่นคงปลอดภัยไซเบอร์ชื่อดังออกมาเปิดเผยถึงเทคนิคสำหรับใช้หลบหลีกระบบรักษาความมั่นคงปลอดภัยแบบใหม่ เรียกว่า Process Doppelgänging ซึ่งสามารถใช้บน Windows ได้ทุกเวอร์ชันไม่เว้นแม้แต่ Windows 10 ภายในงาน Black Hat Europe เมื่อปลายปี 2017 ที่ผ่านมา ล่าสุดพบว่ามี Ransomware ชนิดใหม่ที่นำเทคนิคดังกล่าวมาใช้งานแล้ว

Kaspersky Lab ออกมาเปิดเผยว่า ค้นพบ SynAck Ransomware สายพันธุ์ใหม่ที่ใช้เทคนิค Process Doppelgänging ในการหลบหลีกระบบรักษาความมั่นคงปลอดภัย ซึ่งขณะนี้กำลังแพร่ระบาดอยู่ในสหรัฐฯ คูเวต และอิหร่าน

SynAck Ransomware ถูกค้นพบครั้งแรกเมื่อเดือนกันยายน 2017 เป็นมัลแวร์ที่ใช้เทคนิค Obfuscation ที่มีความซับซ้อนสูงในการป้องกันการทำ Reverse Engineering และหลบเลี่ยงการวิเคราห์โดยใช้ Sandbox อย่างไรก็ตาม ท้ายที่สุดก็มีนักวิจัยด้านความมั่นคงปลอดภัยที่สามารถเปิดเผยวิธีการทำงานของ Ransomware ดังกล่าวได้

ที่น่าสนใจคือ SynAck Ransomware จะทำการตรวจสอบ Keyboard Layout ของอุปกรณ์ PC เพื่อดูว่าอยู่ในลิสต์ของประเทศที่จะทำการโจมตีหรือไม่ ถ้าไม่ Ransomware จะทำการ Sleep 30 วินาทีแล้วเรียก ExitProcess เพื่อหลีกเลี่ยงการเข้ารหัสไฟล์ข้อมูล ประเทศที่ SynAck จะไม่โจมตีได้แก่ รัสเซีย เบลารุส ยูเครน จอร์เจีย ทาจิกิสถาน และอุซเบกิสถาน

หลงจากที่แพร่กระจายตัวสู่เครื่องของเหยื่อแล้ว SynAck จะเริ่มเข้ารหัสไฟล์ข้อมูลโดยใช้อัลกอริธึม AES-256-ECB และจะปลดล็อกก็ต่อเมื่อเหยื่อติดต่อกลับมายังแฮ็กเกอร์และยอมทำตามข้อเรียกร้อง

ทาง Kaspersky Lab ไม่ได้ระบุว่า SynAck สายพันธุ์ใหม่นี้แพร่กระจายตัวผ่านช่องทางไหน แต่ทางทีมนักวิจัยก็ได้แจ้งเตือนมาว่าให้หลีกเลี่ยงการเปิดไฟล์หรือลิงค์ที่ไม่น่าไว้วางใจที่ส่งมาทางอีเมล รวมไปถึงการคลิกลิงค์โฆษณาบนเว็บไซต์ต่างๆ เนื่องจากมีเพียงผลิตภัณฑ์ด้านความมั่นคงปลอดภัยไม่มากนักที่สามารถตรวจจับเทคนิค Process Doppelgänging ได้ ที่สำคัญคือต้องอัปเดตแพตช์และฐานข้อมูลด้านความมั่นคงปลอดภัยอยู่เสมอ

ที่มา: https://thehackernews.com/2018/05/synack-process-doppelganging.html

CR:https://www.techtalkthai.com/new-variant-of-synack-ransomware-uses-process-doppelganging-technique/

View : 212