giovedì 10 maggio 2018

Individuato il primo ransomware che usa il Doppelganging per ingannare i sistemi di sicurezza


I ricercatori di sicurezza hanno individuato una particolarissima versione del ransomware SynAck: una versione che introduce, per la prima volta nella storia dei ransomware, l'uso del Doppleganging per ingannare i sistemi di sicurezza. Stiamo parlando di una nuova tecnica di elusione fileless di iniezione di codice, che aiuta il malware e evitare l'individuazione. 

Il ransomware SynAck è un ransomware noto dall'Autunno del 2017, ma il picco di infezioni si è avuto in Dicembre, con una sequenza massiva di attacchi contro l'RDP: fin dalla sua comparsa è stato comunque caratterizzato  dall'uso di complesse tecniche di offuscamento per impedire ogni forma di ingegneria inversa. Nei mesi successivi la diffusione si è quasi interrotta, fino a quando è stata messa in distribuzione la nuova versione, appunto qualche giorno fa. Non è però chiaro come si diffonda questa versione, se via email di spam, siti web dannosi o app di terze parti.   

Il Process Doppelganging in breve
Il Process Doppelganging sfrutta una funzione integrata di Windows e una implementazione non documentata del process loader di Windows: funziona in tutte le più recenti versioni di Windows a partire a Windows Vista fino a Windows 10 compreso. Questo attacco sfrutta le transazioni NTFS per lanciare processi dannosi sostituendo nella memoria i processi di sistema legittimi: l'NTFS Transaction è una funzione di Windows che introduce il concetto di transazione atomica (indivisibile, cioè dove nessuna altra operazione può cominciare senza che sia prima terminata quella precedente)
nel file system NTFS, consentendo la creazione di file e cartelle, la modifica e la rinomina, l'eliminazione di file e cartelle appunto, in maniera atomica. L'NTFS Transaction è uno spazio isolato che consente agli sviluppatori di app per Windows di scrivere routine di file-output per le quali è sicuro o esito positivo completo o esito negativo completo. Nel dettaglio quindi il Doppelganging processa un eseguibile legittimo nelle transazioni NTFS quindi lo sovrascrive con un file dannoso. Questo meccanismo consente di ingannare gli strumenti di individuazione e gli antivirus, che "scambiano" così i processi dannosi come processi legittimi. Manipolando il modo stesso in cui Windows gestisce i passaggi dei file, gli attaccanti possono far passare azioni malevole come processi innocui anche se utilizzano codice dannoso conosciuto.

Altro vantaggio di questa tecnica è che non lascia tracce evidenti: ulteriore difficoltà per gli strumenti di rilevazione. Inutile dire che, una volta divenuti pubblici i dettagli di questo attacco, moltissimi attaccanti hanno iniziato a sfruttarlo nel tentativo di bypassare gli strumenti di sicurezza.

Il ransomware Synack
Synack attualmente colpisce sopratutto utenti negli Stati Uniti, in Kuwait, in Germania e in Iran. E' programmato per non colpire utenti provenienti da Russia, Ucraina, Bielorussia, Georgia, Kazakhistan, Uzbekistan, Armenia. SynAck, per individuare la provenienza dell'utente, confronta il layout della tastiera installata sul computer della vittima con una lista contenuta nel codice stesso del malware: quando (e se) viene individuata una corrispondenza, il ransomware si sospende per 30 secondi quindi richiama l'ExitProcesso per non avviare la criptazione dei file.


Oltre a ciò SynAck cerca di evitare di finire analizzato in qualche sandbox verificando la cartella da dove viene eseguito: se riscontra un tentativo di lancio dell'eseguibile dannoso da una cartella "sbagliata", SynAck si interrompe e si auto termina. 

Come cripta i file
SynAck, come tutti i ransomware, cripta i file che trova presenti sul computer: utilizza, per la criptazione, l'algoritmo AES-256-ECB. Non ha una estensione specifica che possa aiutare a individuarlo: quando cripta un fle infatti ne modifica l'estensione sostituendola con 10 caratteri alfanumerici. Terminata la criptazione rilascia la nota di riscatto con le istruzioni per contattare gli attaccanti per pagare il riscatto. 

La nota di riscatto
La nota di riscatto si chiama "==READ==THIS==PLEASE==[8-caratteri random-ID].txt" e non contiene alcuna indicazione rispetto all'entità del riscatto. 



La nota di riscatto viene mostrata, cosa molto rara, anche nella schermata di login: questo avviene perchè SynAck modifica le chiavi LegalNoticeCaption e LegalNoticeText nel registro. Inoltre ripulisce i log degli eventi per impedire analisi forensi sulla macchina infetta. 


Non è attualmente risolvibile gratuitamente. 

Nessun commento:

Posta un commento