{"id":16644,"date":"2018-05-08T10:47:41","date_gmt":"2018-05-08T08:47:41","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=16644"},"modified":"2018-05-08T14:11:49","modified_gmt":"2018-05-08T12:11:49","slug":"synack-ransomware-trickst-sicherheitslosungen-uber-die-raffinierte-doppelganging-technik-aus","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/synack-ransomware-trickst-sicherheitslosungen-uber-die-raffinierte-doppelganging-technik-aus\/16644\/","title":{"rendered":"SynAck-Ransomware trickst Sicherheitsl\u00f6sungen \u00fcber die raffinierte Doppelg\u00e4nging-Technik aus"},"content":{"rendered":"

Kaspersky Lab hat eine neue Variante des Ransomware-Trojaners ,SynAck\u2018 entdeckt. Diese nutzt erstmalig ,in the wild\u2018 die so genannte ,Process Doppelg\u00e4nging\u2018-Technik, um als scheinbar legitimer Prozess von Antivirus-L\u00f6sungen zun\u00e4chst nicht als Malware erkannt zu werden. Die SynAck-Entwickler verwenden noch weitere Tricks, um die Erkennung und Analyse der Malware zu erschweren. So wird der Malware-Code vor der Kompilierung des Samples verschleiert und der Prozess sofort beendet, falls Indizien auf eine Ausf\u00fchrung in einer Sandbox hinweisen.<\/p>\n

\"\"<\/p>\n

Die SynAck-Ransomware ist seit Herbst 2017 bekannt und hatte im Dezember vorwiegend englischsprachige Anwender \u00fcber Brute-Force-Angriffe \u00fcber das Remote-Desktop-Protokolls (RDP) attackiert; wobei im Anschluss die Malware manuell heruntergeladen und installiert wurde. Die jetzt durch Kaspersky Lab aufgedeckte Variante verfolgt einen weitaus raffinierteren Ansatz und nutzt ,Process Doppelg\u00e4nging\u2018 als Verschleierungstechnik.<\/p>\n

Wir gehen davon aus, dass die neue Variante von SynAck f\u00fcr hochgradig gezielte Angriffe genutzt wird. Bis heute wurde eine begrenzte Anzahl von Angriffen in den USA, Kuwait, Deutschland und im Iran beobachtet, wobei sich die L\u00f6segeld-Forderungen auf 3.000 US-Dollar beliefen.<\/p>\n

Neue Variante der SynAck-#Ransomware trickst Sicherheitsl\u00f6sungen \u00fcber die raffinierte \u201aDoppelg\u00e4nging-Technik\u2018 aus.<\/p>Tweet<\/a><\/blockquote>\n

\u201eDer Wettlauf zwischen Angreifern und Verteidigern im Cyberspace wird niemals aufh\u00f6ren. Die M\u00f6glichkeit des ,Process Doppelg\u00e4nging\u2018, mit der Malware an aktuellen Sicherheitsl\u00f6sungen vorbeigeschleust werden kann, stellt eine bedeutende Gefahrenquelle dar\u201c, warnt Anton Ivanov, Lead Malware Analyst bei Kaspersky Lab. \u201eEs \u00fcberrascht nicht, dass sich Angreifer dieser Methode schnell bem\u00e4chtigt haben. Unsere Untersuchung zeigt, wie die zun\u00e4chst wenig zielgerichtete Ransomware<\/a> SynAck mit Hilfe dieser Technik ihre F\u00e4higkeiten, sich zu verschleiern und Rechner zu infizieren, drastisch verbessern konnte. Gl\u00fccklicherweise war die Erkennungslogik f\u00fcr diese Ransomware bereits implementiert, bevor sie ,in the wild\u2018 auftauchte.\u201c<\/p>\n

\"\"<\/p>\n

Wie SynAck die Doppelg\u00e4ngig-Technik nutzt<\/h3>\n

Mit ,Process Doppelg\u00e4nging\u2018 ist eine dateilose Code-Injektion gemeint, die eine Windows-eigene Funktion und eine nicht dokumentierte Implementierung des Windows Process Loaders nutzt. Durch eine Manipulation des Datei-Handlings unter Windows k\u00f6nnen Angreifer ihre sch\u00e4dlichen Aktionen unter dem Deckmantel harmloser, legitimer Prozesse ablaufen lassen. Process Doppelg\u00e4nging hinterl\u00e4sst keine Spuren. Somit ist diese Angriffsform nur sehr schwer zu erkennen. Dies ist der erste Fall von Ransomware, bei der diese Technik ,in-the-wild\u2018 beobachtet wurde.<\/p>\n

Weitere Besonderheiten der SynAck-Variante sind:<\/h3>\n