ついにセキュリティ対策ソフトで検出できない攻撃「Process Doppelgänging」を利用したマルウェアの存在が確認される

セキュリティ対策ソフトによる検出が極めて困難なハッキング手法の「Process Doppelgänging(プロセス ドッペルギャンギング)」が、2017年12月にBlack Hat Europe 2017で発表されていましたが、ついにProcess Doppelgängingを活用した初めてのマルウェア「SynAck」の存在が確認されました。

SynAck targeted ransomware uses the Doppelgänging technique - Securelist
https://securelist.com/synack-targeted-ransomware-uses-the-doppelganging-technique/85431/

First-Ever Ransomware Found Using ‘Process Doppelgänging’ Attack to Evade Detection
https://thehackernews.com/2018/05/synack-process-doppelganging.html

(PDFファイル)Process Doppelgängingは「Process Hollowing(プロセス ハロウィング)」に類似したコードインジェクションツールで、悪意あるコードがプロセスを強制的に停止させ、代替コードを注入するハッキング技術です。Process HollowingではWindowsの「explorer.exe」などの正当かつごく一般的なプロセスを悪意のあるコードの隠れみのにしますが、実行ファイルの命令はメモリに直接書き込まれるため、セキュリティ対策ソフトによる検出が可能です。これに対して、Process Doppelgängingではメモリに書き込むことはせずストレージ上でNTFSトランザクションを始動してマルウェアなどに命令を出します。その後トランザクションは即座に破棄されるため痕跡が残らず、セキュリティ対策ソフトによる検出が非常に難しいという特性を持ちます。

Kaspersky Labの研究者が、Process Doppelgänging技術を用いたマルウェア(トランザムウェア)を発見しました。このマルウェアは「SynAck」の亜種で、アメリカ、クウェート、ドイツ、イランをターゲットにしているとのこと。マルウェア自体は2017年9月に発見されていましたが、リバースエンジニアリングを防止するべくコードの難読化対策が施されていたそうです。Kaspersky Labが突き止めた、ハッシュ値とAPI関数の対応は以下の通り。

SynAckは、ユーザーの国を特定するために、まずPCにインストールされているキーボードレイアウトとマルウェア内のリストを照合します。リストとの一致が確認されると300秒間のスリープ状態を経て、ExitProcessを呼び出してファイルの暗号化を阻止するとのこと。なお、SynAckはロシア、ベラルーシ、ウクライナ、ジョージア、タジキスタン、カザフスタン、ウズベキスタンのユーザーには感染しない設定になっていたことも確認されています。

感染するとSynAckはAES-256-ECBアルゴリズムでファイルを暗号化し、攻撃者の要求に従うことで解読鍵を渡すといういわゆるランサムウェアとしての本領を発揮します。

また、SynAckはレジストリ内のLegalNoticeCaptionやLegalNoticeTextを変更することで、Windowsのログイン画面に任意のテキストを追加することも可能だとのこと。PC起動時に攻撃されたことをユーザーに知らせることもできます。

Kaspersky LabはProcess Doppelgänging採用のSynAckがどのように広がっているのかという感染経路について明らかにしていませんが、ほとんどのマルウェアがフィッシングメールやウェブ上の悪質な広告バナー、サードパーティ製のアプリなどを経由していることから、これらの作業はより慎重に行う必要があります。Process Doppelgänging採用マルウェアの検出がセキュリティ対策ソフトで困難なことから、大切なファイルは定期的に外部にバックアップする習慣をつけるなどのごく一般的な対応しか採れない、というのが現状のようです。