1: 名無しさん@涙目です。(アラビア) [US] 2018/05/09(水) 06:12:11.42 ID:p1Rr5yjR0 BE:446172865-2BP(2000)
セキュリティ対策ソフトによる検出が極めて困難なハッキング手法の「Process Doppelganging(プロセス ドッペルギャンギング)」が、
2017年12月にBlack Hat Europe 2017で発表されていましたが、ついにProcess Doppelgangingを活用した初めてのマルウェア「SynAck」の存在が確認されました。
Process Doppelgangingではメモリに書き込むことはせずストレージ上でNTFSトランザクションを始動してマルウェアなどに命令を出します。
その後トランザクションは即座に破棄されるため痕跡が残らず、セキュリティ対策ソフトによる検出が非常に難しいという特性を持ちます。
Kaspersky Labの研究者が、Process Doppelganging技術を用いたマルウェア(トランザムウェア)を発見しました。このマルウェアは「SynAck」の亜種で、アメリカ、クウェート、ドイツ、イランをターゲットにしているとのこと。
マルウェア自体は2017年9月に発見されていましたが、リバースエンジニアリングを防止するべくコードの難読化対策が施されていたそうです。
なお、SynAckはロシア、ベラルーシ、ウクライナ、ジョージア、タジキスタン、カザフスタン、ウズベキスタンのユーザーには感染しない設定になっていたことも確認されています。
感染するとSynAckはAES-256-ECBアルゴリズムでファイルを暗号化し、攻撃者の要求に従うことで解読鍵を渡すといういわゆるランサムウェアとしての本領を発揮します。
ついにセキュリティ対策ソフトで検出できない攻撃「Process Doppelganging」を利用したマルウェアの存在が確認される - GIGAZINE
https://gigazine.net/news/20180508-synack-process-doppelganging/
>アメリカ、クウェート、ドイツ、イランをターゲットにしている
>ロシア、ベラルーシ、ウクライナ、ジョージア、タジキスタン、カザフスタン、ウズベキスタンのユーザーには感染しない
2017年12月にBlack Hat Europe 2017で発表されていましたが、ついにProcess Doppelgangingを活用した初めてのマルウェア「SynAck」の存在が確認されました。
Process Doppelgangingではメモリに書き込むことはせずストレージ上でNTFSトランザクションを始動してマルウェアなどに命令を出します。
その後トランザクションは即座に破棄されるため痕跡が残らず、セキュリティ対策ソフトによる検出が非常に難しいという特性を持ちます。
Kaspersky Labの研究者が、Process Doppelganging技術を用いたマルウェア(トランザムウェア)を発見しました。このマルウェアは「SynAck」の亜種で、アメリカ、クウェート、ドイツ、イランをターゲットにしているとのこと。
マルウェア自体は2017年9月に発見されていましたが、リバースエンジニアリングを防止するべくコードの難読化対策が施されていたそうです。
なお、SynAckはロシア、ベラルーシ、ウクライナ、ジョージア、タジキスタン、カザフスタン、ウズベキスタンのユーザーには感染しない設定になっていたことも確認されています。
感染するとSynAckはAES-256-ECBアルゴリズムでファイルを暗号化し、攻撃者の要求に従うことで解読鍵を渡すといういわゆるランサムウェアとしての本領を発揮します。
ついにセキュリティ対策ソフトで検出できない攻撃「Process Doppelganging」を利用したマルウェアの存在が確認される - GIGAZINE
https://gigazine.net/news/20180508-synack-process-doppelganging/
>アメリカ、クウェート、ドイツ、イランをターゲットにしている
>ロシア、ベラルーシ、ウクライナ、ジョージア、タジキスタン、カザフスタン、ウズベキスタンのユーザーには感染しない
引用元: ・http://hayabusa9.5ch.net/test/read.cgi/news/1525813931/
2: 名無しさん@涙目です。(西日本) [US] 2018/05/09(水) 06:12:40.86 ID:DYyAii9B0
ロシアに草
3: 名無しさん@涙目です。(チベット自治区) [ニダ] 2018/05/09(水) 06:13:18.80 ID:UtOiqs3v0
昔からあるだろ
4: 名無しさん@涙目です。(やわらか銀行) [UA] 2018/05/09(水) 06:13:47.54 ID:zSKqljd10
何言ってるかわからん
10: 名無しさん@涙目です。(やわらか銀行) [CN] 2018/05/09(水) 06:20:36.16 ID:cxUtqTVF0
トォランザクゥショォォンッ!
26: 名無しさん@涙目です。(東京都) [IT] 2018/05/09(水) 07:12:41.05 ID:M3Tph3uZ0
>>10
ラン サーーームッ!!
ラン サーーームッ!!
11: 名無しさん@涙目です。(東京都) [FR] 2018/05/09(水) 06:22:14.35 ID:3MqnFeR80
2017年9月まで読んだ
12: 名無しさん@涙目です。(庭) [IN] 2018/05/09(水) 06:24:25.65 ID:2JM7j17e0
犯人モロバレやんけ
15: 名無しさん@涙目です。(茸) [US] 2018/05/09(水) 06:37:35.10 ID:18Pl8o+K0
変なサイトには行くなってことで良いですか
28: 名無しさん@涙目です。(静岡県) [AT] 2018/05/09(水) 07:39:15.80 ID:Xtry4yLA0
>>15
ν速に来ている時点で終わったな…
ν速に来ている時点で終わったな…
16: 名無しさん@涙目です。(チベット自治区) [IR] 2018/05/09(水) 06:37:51.44 ID:HRx9bv7C0
国の判別はどうやってんだろ?
発動しない様に誤魔化せないのかな?
発動しない様に誤魔化せないのかな?
17: 名無しさん@涙目です。(catv?) [ニダ] 2018/05/09(水) 06:42:56.08 ID:kI5cKCHs0
>>16
ソースに載ってたよ
ソースに載ってたよ
20: 名無しさん@涙目です。(東京都) [ニダ] 2018/05/09(水) 06:48:59.42 ID:L2eta0yX0
FAT32を使え
22: 名無しさん@涙目です。(山梨県) [ES] 2018/05/09(水) 07:02:57.52 ID:AV5y1yC10
会社の同僚がいまだにメーラーのプレビュー機能オンのままで驚愕した
25: 名無しさん@涙目です。(アラビア) [BR] 2018/05/09(水) 07:11:14.94 ID:MAiOFozU0
AES256bitで暗号化されてもNSAとかなら楽勝で解読できるだろ?
31: 名無しさん@涙目です。(庭) [CN] 2018/05/09(水) 08:11:28.80 ID:wL7OUMkg0
>SynAckは、ユーザーの国を特定するために、まずPCにインストールされているキーボードレイアウトとマルウェア内のリストを照合します。
>リストとの一致が確認されると300秒間のスリープ状態を経て、ExitProcessを呼び出してファイルの暗号化を阻止するとのこと。
お前らもキーボードレイアウトをロシア仕様にするといいぞ!
>リストとの一致が確認されると300秒間のスリープ状態を経て、ExitProcessを呼び出してファイルの暗号化を阻止するとのこと。
お前らもキーボードレイアウトをロシア仕様にするといいぞ!
32: 名無しさん@涙目です。(青森県) [US] 2018/05/09(水) 08:20:22.09 ID:OvWkgxVz0
>>31
ロシア語で考えろということか
ロシア語で考えろということか
![【PS4】ゴッド・オブ・ウォー 【早期購入特典】「3種類のシールドスキン」がダウンロードできるプロダクトコードチラシ (封入) 【CEROレーティング「Z」】[18歳以上のみ対象]](https://images-fe.ssl-images-amazon.com/images/I/51R322ik2pL._SX250_.jpg)
![踏切時間 [Blu-ray]](https://images-fe.ssl-images-amazon.com/images/I/51zIJmT8crL._SX250_.jpg)
![スター・ウォーズ/最後のジェダイ MovieNEX(初回版) [ブルーレイ+DVD+デジタルコピー(クラウド対応)+MovieNEXワールド] [Blu-ray]](https://images-fe.ssl-images-amazon.com/images/I/61AwTO4uElL._SX250_.jpg)
![[2CS] サントリー 天然水(南アルプス) (2L×6本)×2箱](http://ecx.images-amazon.com/images/I/51hh8R1Q0YL._SX250_.jpg)
