为了顺应当前形势和更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 资讯 互联网 查看内容

勒索软件SynAck携2017黑帽大会黑客技术来袭

2018-5-10 09:05| 投稿: lofor |来自: 互联网

摘要: 卡巴斯基实验室的研究人员发现,SynAck 勒索软件新变种使用代码注入技术 Process Doppelgänging 隐藏在合法进程中,可绕过反病毒安全机制,现有反病毒产品无法进行查杀。SynAck 是首款利用 Process Doppelg ...

卡巴斯基实验室的研究人员发现,SynAck 勒索软件新变种使用代码注入技术 Process Doppelgänging 隐藏在合法进程中,可绕过反病毒安全机制,现有反病毒产品无法进行查杀。SynAck 是首款利用 Process Doppelgänging 反查杀技术躲避检测的勒索软件。

研究人员根据目前观察到的数据推测,这款勒索软件可能是一款具有针对性的恶意软件,该软件目前瞄准的目标仅限于美国、科威特、德国和伊朗

Process Doppelgänging技术

SynAck 勒索软件自2017年9月开始活跃,其新变种新增了一些规避检测的功能,利用了 Process Doppelgänging 等技术。

2017年12月的欧洲黑帽安全大会上,enSilo 的安全研究人员介绍了 Process Doppelgänging 这种相对较新的技术,该技术可针对所有 Windows 版本平台发起攻击,该技术直接利用微软 Windows 系统中的事务性 NTFS (TxF)Transactional NTFS 机制读写文件,更糟糕的是TxF在目前大多数Windows版本上默认都是启用的。利用这项机制,恶意软件作者可以直接利用目标系统上的进程。基本原理就是将恶意代码伪装合法的 Windows 进程,以此绕过安全软件的检测。这种技术可绕过 Windows 系统上所有反病毒和下一代反病毒产品(经过测试的)的实时文件扫描。

事务性NTFS(TxF)Transactional NTFS

微软 MSDN 的官方信息显示,事务性 NTFS(TxF)将事务集成到 NTFS 文件系统中,这使应用程序开发人员和管理员可以更轻松地处理错误并保持数据完整性。如果系统或应用程序在应用程序更新磁盘上的信息时失败,用户数据可能会被部分完成的文件更新操作损坏。TxF 使应用程序能够保护文件更新操作免受系统或应用程序故障的影响。 

卡巴斯基的研究人员表示,首次于2018年4月发现这个新变种。为了加大反编译和逆向工程的难度,SynAck 新变种在编译中添加了其它混淆代码。这款勒索软件新变种有时会在被感染的系统将自定义文本添加到 Windows 登录界面。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部