نخستين باج افزار با استفاده از روش حمله Process Doppelgänging

به نقل از کانال sgap حمله ‏process doppelganging از يكي از قابليت هاي ويندوز بهره ميبرد. براي مثال : تعاملات NTFS و به كارگيري يك process loader آپديت نشده.اين روش روي تمامي نسخه هاي ويندوز ازجمله ويندوز ١٠ قابل اجرا ميباشد. نحوه كار چيست ؟ اين نوع حمله با استفاده از NTFS Transactions ، پردازش بدافزار را با پردازش اصلي،قانوني و معتبر در حافظه عوض ميكند. بدين ترتيب آنتي ويروس ها و ابزارهاي مانيتورينگ فكر ميكنند كه يك پردازش معتبر و قانوني در حال اجراست... محققان امنيتي Kaspersky خبر از اين باج افزار با ويرايش SynAck دادند كه از اين روش براي جلوگيري از شناسايي كدهاي مخرب استفاده ميكند.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
SynAck FES باج افزار

اين باج افزار روي كشورهاي آمريكا،كويت،آلمان و ايران اجرا شده و نكته جالب اينجاست كه كشورهاي روسيه بلاروس و اوكراين و تاجيكستان و ازبكستان شامل اين حال نميشوند! براي اينكه باج افزار بداند روي كدام سيستم ها اجرا شود و روي كدام اجرا نشود، زبان صفحه كليد سيستم را چك ميكند و اگر مطابق rule هاي باج افزار بود شروع به رمزنگاري ميكند و براي عدم رمزنگاري بعد از ٣٠ ثانيه يك پردازش exit process ميفرستد تا از اجراي كدهاي مخرب جلوگيري شود.بهتر است هميشه از اطلاعات خود بك آپ داشته باشيد تا قرباني اين گونه حملات نباشيد…این باج افزار میتواند صفحه لاگین ویندوز را تغییردهد و همچنین امکان پاک کردن لاگ ها را نیز دارد . همیشه مراقب فایل‌هایی که توسط ایمیل برای شما ارسال می‌شود باشید .


Terinnon
Terinnon

سلام امیرعلی هستم کارشناس ارشد امنیت شبکه. از سال 82 کار تو زمینه امنیت رو شروع کردم.

21 اردیبهشت 1397 این مطلب را ارسال کرده

نظرات