First-Ever Ransomware Found Using 'Process Doppelgänging' Attack to Evade Detection
لقد اكتشف الباحثون الأمنيون أول رانسومواري على الإطلاق يستغلونعملية Doppelgänging ، وهي تقنية جديدة لفك الشفرة التي قد تساعد البرمجيات الخبيثة على تجنب الكشف.
في عملية Doppelgänging هجوم يستفيد من المدمج في نظام التشغيل Windows وظيفة، أي المعاملات NTFS، وتنفيذ قديمة من ويندوز محمل العملية، ويعمل على جميع الإصدارات الحديثة من مايكروسوفت نظام التشغيل ويندوز، بما فيها ويندوز 10.
الهجوم عملية Doppelgänging يعمل باستخدام NTFS المعاملات لإطلاق عملية خبيثة عن طريق استبدال ذاكرة عملية مشروعة ، خداع أدوات مراقبة عملية ومكافحة الفيروسات إلى الاعتقاد بأن العملية المشروعة قيد التشغيل.
إذا كنت ترغب في معرفة المزيد عن كيفية عمل هجوم عملية Doppelgänging بالتفصيل ، يجب عليك قراءة هذا المقال الذي نشرته أواخر العام الماضي.
بعد وقت قصير من ظهور تفاصيل الهجوم على عملية Doppelgänging ، تم العثور على العديد من الجهات الفاعلة المهددة بالانتهاك في محاولة لتجاوز الحلول الأمنية الحديثة.
وقد وجد باحثو الأمن في شركة "كاسبرسكي لاب " أول رانسومواري ، وهو نوع جديد من "سيناك" ، يستخدم هذه التقنية للتخلص من أعماله الخبيثة واستهداف المستخدمين في الولايات المتحدة والكويت وألمانيا وإيران.
في البداية تم اكتشافه في سبتمبر 2017 ، يستخدم SynAck Ransomware تقنيات تشويش معقدة لمنع الهندسة العكسية ، لكن الباحثين تمكنوا من فكها وتبادلوا تحليلاتهم في مشاركة مدونة.
شيء مثير للاهتمام حول SynAck هو أن هذا الفدية لا يصيب الناس من بلدان معينة ، بما في ذلك روسيا وبيلاروسيا وأوكرانيا وجورجيا وطاجيكستان وكازاخستان وأوزبكستان.
لتحديد بلد مستخدم معين ، يتطابق SynAck ransomware مع تخطيطات لوحة المفاتيح المثبتة على كمبيوتر المستخدم مقابل قائمة ضمنية مخزنة في البرامج الضارة. إذا تم العثور على تطابق ، تنام ransomware لمدة 30 ثانية ثم استدعاء ExitProcess لمنع تشفير الملفات.
يمنع SynAck ransomware أيضًا تحليل sandbox التلقائي عن طريق التحقق من الدليل من حيث ينفذ. إذا عثرت على محاولة لإطلاق الملف التنفيذي الضار من دليل "غير صحيح" ، فلن يستمر SynAck أكثر وسيقوم بدلاً من ذلك بإنهاء نفسه.
بمجرد إصابتهم ، مثل أي فدية أخرى ، تقوم SynAck بتشفير محتوى كل ملف مصاب باستخدام خوارزمية AES-256-ECB وتوفر للضحايا مفتاح فك التشفير حتى يتصلوا بالمهاجمين ويفي بمطالبهم.
كما يمكن لـ SynAck عرض ملاحظة ransomware على شاشة تسجيل الدخول إلى Windows عن طريق تعديل مفاتيح LegalNoticeCaption و LegalNoticeText في السجل. حتى أن مسح ransomware يزيل سجلات الأحداث المخزنة من قبل النظام لتجنب تحليل الطب الشرعي للجهاز المصاب.
على الرغم من أن الباحثين لم يقلوا كيف تهبط SynAck على الكمبيوتر الشخصي ، فإن معظم الفدية تنتشر عبر رسائل البريد الإلكتروني التصيدية ، والإعلانات الخبيثة على مواقع الويب ، وتطبيقات وبرامج الطرف الثالث.
لذلك ، يجب عليك دائمًا توخي الحذر عند فتح المستندات غير المدعوة المرسلة عبر البريد الإلكتروني والنقر على الروابط داخل تلك المستندات ما لم يتم التحقق من المصدر في محاولة للحماية ضد هذه العدوى بفيروس الرانسوم.
على الرغم من ذلك ، في هذه الحالة ، يمكن فقط لعدد قليل من برامج الأمان وبرامج مكافحة الفيروسات الدفاع عنك أو تنبيهك ضد التهديد ، فمن الأفضل دائمًا أن يكون لديك مجموعة أمان فعالة لمكافحة الفيروسات على نظامك وتحديثه باستمرار.
أخيرًا وليس أقلها: أن يكون لديك قبضة محكمة على بياناتك القيمة ، يكون لديك دائمًا روتين احتياطي في مكان يجعل نسخًا من جميع ملفاتك الهامة إلى جهاز تخزين خارجي غير متصل دائمًا بالكمبيوتر.
في عملية Doppelgänging هجوم يستفيد من المدمج في نظام التشغيل Windows وظيفة، أي المعاملات NTFS، وتنفيذ قديمة من ويندوز محمل العملية، ويعمل على جميع الإصدارات الحديثة من مايكروسوفت نظام التشغيل ويندوز، بما فيها ويندوز 10.
الهجوم عملية Doppelgänging يعمل باستخدام NTFS المعاملات لإطلاق عملية خبيثة عن طريق استبدال ذاكرة عملية مشروعة ، خداع أدوات مراقبة عملية ومكافحة الفيروسات إلى الاعتقاد بأن العملية المشروعة قيد التشغيل.
إذا كنت ترغب في معرفة المزيد عن كيفية عمل هجوم عملية Doppelgänging بالتفصيل ، يجب عليك قراءة هذا المقال الذي نشرته أواخر العام الماضي.
بعد وقت قصير من ظهور تفاصيل الهجوم على عملية Doppelgänging ، تم العثور على العديد من الجهات الفاعلة المهددة بالانتهاك في محاولة لتجاوز الحلول الأمنية الحديثة.
وقد وجد باحثو الأمن في شركة "كاسبرسكي لاب " أول رانسومواري ، وهو نوع جديد من "سيناك" ، يستخدم هذه التقنية للتخلص من أعماله الخبيثة واستهداف المستخدمين في الولايات المتحدة والكويت وألمانيا وإيران.
شيء مثير للاهتمام حول SynAck هو أن هذا الفدية لا يصيب الناس من بلدان معينة ، بما في ذلك روسيا وبيلاروسيا وأوكرانيا وجورجيا وطاجيكستان وكازاخستان وأوزبكستان.
لتحديد بلد مستخدم معين ، يتطابق SynAck ransomware مع تخطيطات لوحة المفاتيح المثبتة على كمبيوتر المستخدم مقابل قائمة ضمنية مخزنة في البرامج الضارة. إذا تم العثور على تطابق ، تنام ransomware لمدة 30 ثانية ثم استدعاء ExitProcess لمنع تشفير الملفات.
يمنع SynAck ransomware أيضًا تحليل sandbox التلقائي عن طريق التحقق من الدليل من حيث ينفذ. إذا عثرت على محاولة لإطلاق الملف التنفيذي الضار من دليل "غير صحيح" ، فلن يستمر SynAck أكثر وسيقوم بدلاً من ذلك بإنهاء نفسه.
بمجرد إصابتهم ، مثل أي فدية أخرى ، تقوم SynAck بتشفير محتوى كل ملف مصاب باستخدام خوارزمية AES-256-ECB وتوفر للضحايا مفتاح فك التشفير حتى يتصلوا بالمهاجمين ويفي بمطالبهم.
على الرغم من أن الباحثين لم يقلوا كيف تهبط SynAck على الكمبيوتر الشخصي ، فإن معظم الفدية تنتشر عبر رسائل البريد الإلكتروني التصيدية ، والإعلانات الخبيثة على مواقع الويب ، وتطبيقات وبرامج الطرف الثالث.
لذلك ، يجب عليك دائمًا توخي الحذر عند فتح المستندات غير المدعوة المرسلة عبر البريد الإلكتروني والنقر على الروابط داخل تلك المستندات ما لم يتم التحقق من المصدر في محاولة للحماية ضد هذه العدوى بفيروس الرانسوم.
على الرغم من ذلك ، في هذه الحالة ، يمكن فقط لعدد قليل من برامج الأمان وبرامج مكافحة الفيروسات الدفاع عنك أو تنبيهك ضد التهديد ، فمن الأفضل دائمًا أن يكون لديك مجموعة أمان فعالة لمكافحة الفيروسات على نظامك وتحديثه باستمرار.
أخيرًا وليس أقلها: أن يكون لديك قبضة محكمة على بياناتك القيمة ، يكون لديك دائمًا روتين احتياطي في مكان يجعل نسخًا من جميع ملفاتك الهامة إلى جهاز تخزين خارجي غير متصل دائمًا بالكمبيوتر.
Commentaires
Enregistrer un commentaire