Neue Variante der SynAck-Ransomware trickst Sicherheitslösungen über die raffinierte Doppelgänging-Technik aus

Experten von Kaspersky Lab haben eine neue Variante des Ransomware-Trojaners ,SynAck‘ entdeckt [1]. Diese nutzt erstmalig ,in the wild‘ die so genannte ,Process Doppelgänging‘-Technik [2], um als scheinbar legitimer Prozess von Antivirus-Lösungen zunächst nicht als Malware erkannt zu werden. Die SynAck-Entwickler verwenden noch weitere Tricks, um die Erkennung und Analyse der Malware zu erschweren. So wird der Malware-Code vor der Kompilierung des Samples verschleiert und der Prozess sofort beendet, falls Indizien auf eine Ausführung in einer Sandbox hinweisen.

Die SynAck-Ransomware ist seit Herbst 2017 bekannt und hatte im Dezember vorwiegend englischsprachige Anwender über Brute-Force-Angriffe über das Remote-Desktop-Protokolls (RDP) attackiert; wobei im Anschluss die Malware manuell heruntergeladen und installiert wurde [3]. Die jetzt durch Kaspersky Lab aufgedeckte Variante verfolgt einen weitaus raffinierteren Ansatz und nutzt ,Process Doppelgänging‘ als Verschleierungstechnik.

Die Experten von Kaspersky Lab gehen davon aus, dass die neue Variante von SynAck für hochgradig gezielte Angriffe genutzt wird. Bis heute wurde eine begrenzte Anzahl von Angriffen in den USA, Kuwait, Deutschland und im Iran beobachtet, wobei sich die Lösegeld-Forderungen auf 3.000 US-Dollar beliefen.

„Der Wettlauf zwischen Angreifern und Verteidigern im Cyberspace wird niemals aufhören. Die Möglichkeit des ,Process Doppelgänging‘, mit der Malware an aktuellen Sicherheitslösungen vorbeigeschleust werden kann, stellt eine bedeutende Gefahrenquelle dar“, warnt Anton Ivanov, Lead Malware Analyst bei Kaspersky Lab. „Es überrascht nicht, dass sich Angreifer dieser Methode schnell bemächtigt haben. Unsere Untersuchung zeigt, wie die zunächst wenig zielgerichtete Ransonware SynAck mit Hilfe dieser Technik ihre Fähigkeiten, sich zu verschleiern und Rechner zu infizieren, drastisch verbessern konnte. Glücklicherweise war die Erkennungslogik für diese Ransomware bereits implementiert, bevor sie ,in the wild‘ auftauchte.“

Wie SynAck die Doppelgängig-Technik nutzt

Weitere Besonderheiten der SynAck-Variante sind:

• Der SynAck-Trojaner verschleiert seinen ausführbaren Code vor der Kompilierung, im Gegensatz zu den meisten anderen Ranomware Ausprägungen, welche die entsprechenden Codefragmente nur packen. Dies erschwert das Reverse Engineering und die Analyse des schädlichen Codes.
• Die Verlinkung zu den benötigten API-Funktionen werden ebenfalls verschleiert,dabei werden die Namen als Hashwerte statt in Klartext abgelegt.
• Nach seiner Installation inspiziert der Trojaner das Dateiverzeichnis, aus dem seine ausführbaren Dateien gestartet werden. Der Prozess wird abgebrochen, sobald ein Startversuch aus einem „falschen“ Ordner heraus – wie etwa einer möglichen automatisierten Sandbox – erfolgt.
• Die Malware bricht seine Aktivität auch ab, falls der PC des Opfers eine kyrillische Tastatur haben sollte.
• Bevor Dateien verschlüsselt werden, überprüft SynAck die Hashwerte aller laufenden Prozesse und Dienste mit Hilfe einer fest eingebauten Liste. Im Fall einer Übereinstimmung wird versucht, den Prozess sofort abzubrechen. Das betrifft unter anderem Prozesse, die mit virtuellen Maschinen, Office-Anwendungen, Skript-Interpretern, Datenbank-Anwendungen, Backup-Systemen oder Spielen zu tun haben. Dies geschieht möglicherweise deshalb, um sich besonders wertvoller Dateien, die ansonsten in die genannten, laufenden Prozesse eingebunden wären, einfacher bemächtigen zu können.

Kaspersky Lab erkennt die verschiedenen Varianten von SynAck als

• Trojan-Ransom.Win32.Agent.abwa,
• Trojan-Ransom.Win32.Agent.abwb und
• PDM:Trojan.Win32.Generic.

Kaspersky Lab: Schutzmaßnahmen

Die Kaspersky-Experten empfehlen folgende Maßnahmen, mit denen Anwender ihre Geräte vor Ransomware schützen können:

• regelmäßig Backups durchführen;
• verlässliche Sicherheitslösungen nutzen mit Verhaltenserkennung und der Möglichkeit, schädliche Aktionen wieder rückgängig zu machen;
• die Software auf allen Geräten immer auf dem aktuellen Stand halten;
• Unternehmen sollten ihre Mitarbeiter und IT-Teams entsprechend schulen, sensible Daten separat und mit strengen Zugriffsbeschränkungen speichern, und außerdem spezielle Sicherheitslösungen wie Kaspersky Endpoint Security for Business [5] verwenden;
• Sollte es dennoch zu einer Ransomware-Infektion kommen, nicht in Panik verfallen, sondern mit einem nicht befallenen Gerät die Website NoMoreRansom.org [6] aufsuchen. Dort werden Tools zur Entschlüsselung bereitgestellt, mit denen die Dateien möglicherweise wiederhergestellt werden können.

Mehr Informationen über die verdeckt arbeitende SynAck-Variante enthält der folgende Blogeintrag: https://securelist.com/synack-targeted-ransomware-uses-the-doppelganging-technique/85431/

^[1]https://securelist.com/synack-targeted-ransomware-uses-the-doppelganging-technique/85431/

^[2] Die Technik des Process Doppelgänging wurde erstmals von Tal Liberman und Eugene Kogan im Dezember 2017 auf der Blackhat-Konferenz in London vorgestellt.

^[3]https://www.bleepingcomputer.com/news/security/synack-ransomware-sees-huge-spike-in-activity/

^[4]https://www.blackhat.com/docs/eu-17/materials/eu-17-Liberman-Lost-In-Transaction-Process-Doppelganging.pdf

^[5]https://www.kaspersky.de/small-to-medium-business-security

^[6]https://www.nomoreransom.org/de/index.html

Nützliche Links:

• Kaspersky-Analyse zu SynAck: https://securelist.com/synack-targeted-ransomware-uses-the-doppelganging-technique/85431/
• Kaspersky Endpoint Security for Business: https://www.kaspersky.de/small-to-medium-business-security

Website No More Ransom: https://www.nomoreransom.org/de/index.html