Así es Process Doppelgänging, la técnica que impide la detección de los ataques de ciberseguridad
Ampliar

Así es Process Doppelgänging, la técnica que impide la detección de los ataques de ciberseguridad

lunes 21 de mayo de 2018, 14:34h

google+

linkedin

Comentar

WhatsApp

  • Compartir en Meneame

Por primera vez se descubre en funcionamiento la técnica Process Doppelgänging que evita la detección, en una variante del ransomware SynAck, encontrado ya en otoño de 2017 pero que ahora vuelve a la carga con una nueva variante.

SynAck comenzó a golpear a usuarios de habla inglesa en diciembre del pasado año, mediante ataques de fuerza bruta RDP (Remote Desktop Protocol) seguidos de la descarga manual y la instalación del malware. Ahora, la nueva variante descubierta por analistas de Kaspersky Lab, es “mucho más sofisticada” al incorpora la técnica Process Doppelgänging.

Esta técnica no deja evidencia rastreable, lo que hace que este tipo de intrusión sea extremadamente difícil de detectar

En diciembre de 2017 se registra por primera vez la aparición del Process Doppelgänging. Esta técnica implica una inyección de código sin archivos que aprovecha una función Windows incorporada y una implementación no documentada del cargador de procesos de Windows. Al manipular las transacciones de archivos de modo similar a como lo hace Windows, los ciberdelincuentes pueden simular sus acciones maliciosas como si fueran procesos legítimos e inofensivos, aún en el caso de que estuvieran usando un código malicioso conocido.

Esta técnica no deja evidencia rastreable, lo que hace que este tipo de intrusión sea extremadamente difícil de detectar. Esta es la primera vez que se ha observado ransomware utilizar esta técnica.

La nueva variante de SynAck

“La pugna en el ciberespacio entre ciberdelincuentes y defensores es una historia interminable. La capacidad de la técnica Process Doppelgänging para llevar el malware más allá de las últimas medidas de seguridad, representa una amenaza muy importante, una que a nadie sorprende, y ha sido rápidamente aprovechada rápidamente por los atacantes”, asegura Anton Ivanov, analista principal de malware de Kaspersky Lab. “Nuestro análisis muestra cómo el ransomware SynAck de perfil relativamente bajo, utilizó esa técnica para actualizar su discreción y capacidad de infección. Afortunadamente, la lógica de detección para este ransomware se implementó antes de que apareciera sobre el terreno”, concluye Ivanov.

Esta nueva versión de SynAck ofusca el código ejecutable antes de la compilación, en lugar de empaquetarlo como hace la mayoría de los otros ransomware, lo que dificulta que los investigadores realicen ingeniería inversa y analicen el código malicioso.

El malware se cierra sin ejecutarse si el PC de la víctima tiene un teclado configurado para caracteres cirílicos

Asimismo, ocultan los enlaces a la función API necesaria y almacena los hashes en las cadenas, en lugar de las cadenas mismas. Tras la instalación, el troyano revisa el directorio desde el que se inició su ejecutable, y si detecta un intento de inicio desde un directorio incorrecto, como un potencial sandbox automatizado, se cierra.

El malware además se cierra sin ejecutarse si el PC de la víctima tiene un teclado configurado para caracteres cirílicos, por lo que se cree que esta nueva versión pueda provenir de países de Europa del Este, con Rusia a la cabeza.

Antes de cifrar los archivos en un dispositivo de la víctima, SynAck verifica los hashes de todos los procesos y servicios en ejecución contra su propia lista codificada y en caso de que encuentre una coincidencia, intenta parar el proceso. Así pues, los procesos bloqueados incluyen máquinas virtuales, aplicaciones offline, intérpretes de script, aplicaciones de bases de datos, sistemas de respaldo, aplicaciones de juegos y otras, algo que los analistas de la firma de ciberseguridad que recientemente a anunciado su salida de Rusia para instalarse en Suiza, creen que busca facilitar la captura de archivos valiosos que, de oro modo, podrían estar vinculados a los procesos en ejecución.

Los analistas creen que los ataques que utilizan esta nueva variante son muy concretos y por el momento, sólo se han observado un número limitado de ciberataques en Estados Unidos, Kuwait, Alemania e Irán, con peticiones de rescate de 3.000 dólares.

¿Te ha parecido interesante esta noticia?    Si (0)    No(0)
  • Compartir en Meneame

+

0 comentarios