Breaking News
AMR | Citrix Webinar: The Next New Normal

SynAck Ransomware สายพันธุ์ใหม่ ใช้เทคนิค Process Doppelgänging หลบหลีกการตรวจจับ

หลังจากที่ enSiilo บริษัททางด้านความมั่นคงปลอดภัยไซเบอร์ชื่อดังออกมาเปิดเผยถึงเทคนิคสำหรับใช้หลบหลีกระบบรักษาความมั่นคงปลอดภัยแบบใหม่ เรียกว่า Process Doppelgänging ซึ่งสามารถใช้บน Windows ได้ทุกเวอร์ชันไม่เว้นแม้แต่ Windows 10 ภายในงาน Black Hat Europe เมื่อปลายปี 2017 ที่ผ่านมา ล่าสุดพบว่ามี Ransomware ชนิดใหม่ที่นำเทคนิคดังกล่าวมาใช้งานแล้ว

Kaspersky Lab ออกมาเปิดเผยว่า ค้นพบ SynAck Ransomware สายพันธุ์ใหม่ที่ใช้เทคนิค Process Doppelgänging ในการหลบหลีกระบบรักษาความมั่นคงปลอดภัย ซึ่งขณะนี้กำลังแพร่ระบาดอยู่ในสหรัฐฯ คูเวต และอิหร่าน

SynAck Ransomware ถูกค้นพบครั้งแรกเมื่อเดือนกันยายน 2017 เป็นมัลแวร์ที่ใช้เทคนิค Obfuscation ที่มีความซับซ้อนสูงในการป้องกันการทำ Reverse Engineering และหลบเลี่ยงการวิเคราห์โดยใช้ Sandbox อย่างไรก็ตาม ท้ายที่สุดก็มีนักวิจัยด้านความมั่นคงปลอดภัยที่สามารถเปิดเผยวิธีการทำงานของ Ransomware ดังกล่าวได้

ที่น่าสนใจคือ SynAck Ransomware จะทำการตรวจสอบ Keyboard Layout ของอุปกรณ์ PC เพื่อดูว่าอยู่ในลิสต์ของประเทศที่จะทำการโจมตีหรือไม่ ถ้าไม่ Ransomware จะทำการ Sleep 30 วินาทีแล้วเรียก ExitProcess เพื่อหลีกเลี่ยงการเข้ารหัสไฟล์ข้อมูล ประเทศที่ SynAck จะไม่โจมตีได้แก่ รัสเซีย เบลารุส ยูเครน จอร์เจีย ทาจิกิสถาน และอุซเบกิสถาน

หลงจากที่แพร่กระจายตัวสู่เครื่องของเหยื่อแล้ว SynAck จะเริ่มเข้ารหัสไฟล์ข้อมูลโดยใช้อัลกอริธึม AES-256-ECB และจะปลดล็อกก็ต่อเมื่อเหยื่อติดต่อกลับมายังแฮ็กเกอร์และยอมทำตามข้อเรียกร้อง

ทาง Kaspersky Lab ไม่ได้ระบุว่า SynAck สายพันธุ์ใหม่นี้แพร่กระจายตัวผ่านช่องทางไหน แต่ทางทีมนักวิจัยก็ได้แจ้งเตือนมาว่าให้หลีกเลี่ยงการเปิดไฟล์หรือลิงค์ที่ไม่น่าไว้วางใจที่ส่งมาทางอีเมล รวมไปถึงการคลิกลิงค์โฆษณาบนเว็บไซต์ต่างๆ เนื่องจากมีเพียงผลิตภัณฑ์ด้านความมั่นคงปลอดภัยไม่มากนักที่สามารถตรวจจับเทคนิค Process Doppelgänging ได้ ที่สำคัญคือต้องอัปเดตแพตช์และฐานข้อมูลด้านความมั่นคงปลอดภัยอยู่เสมอ

ที่มา: https://thehackernews.com/2018/05/synack-process-doppelganging.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

CU Webinar: ตอบโจทย์ Cybersecurity ด้วยเทคโนโลยี Machine Learning (ML) และ Artificial Intelligence (AI) จาก IBM QRadar

TechTalkThai ขอเรียนเชิญ CTO, CIO, CISO, IT Manager, IT Security Manager, Security Engineer, ผู้ดูแลระบบ IT และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "ตอบโจทย์ Cybersecurity ด้วยเทคโนโลยี Machine Learning (ML) และ Artificial Intelligence (AI) จาก IBM QRadar" เพื่อเรียนรู้กรณีการตรวจจับและจัดการกับภัยคุกคามอย่างมีประสิทธิภาพมากขึ้นโดยการนำ ML และ AI มาใช้ พร้อมชมตัวอย่างจาก IBM QRadar ในวันศุกร์ที่ 12 มิถุนายน 2020 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

[Guest Post] เอไอเอส ยืนยัน ไม่มีข้อมูลส่วนบุคคลลูกค้ารั่วไหลตามที่เป็นข่าว

นางสายชล ทรัพย์มากอุดม หัวหน้าสายงานประชาสัมพันธ์ บริษัท แอดวานซ์ อินโฟร์ เซอร์วิส จำกัด (มหาชน) กล่าวว่า “จากการรายงานข่าวในต่างประเทศเกี่ยวกับการรั่วไหลของข้อมูลลูกค้าเอไอเอส นั้น บริษัทฯ ขอเรียนว่า ข้อมูลดังกล่าวไม่ใช่ข้อมูลส่วนบุคคลของลูกค้าแต่เป็นข้อมูลเกี่ยวกับการใช้งานอินเตอร์เน็ตในภาพรวมบางส่วน และไม่ใช่ข้อมูลที่สามารถก่อให้เกิดความเสียหายด้านการเงินหรือด้านอื่นๆ โดยกรณีนี้เกิดจากการทดสอบเพื่อปรับปรุงคุณภาพเครือข่ายที่มีขึ้นในเดือนพฤษภาคม และภารกิจดังกล่าวได้ดำเนินการเรียบร้อยแล้ว โดยขอยืนยันอีกครั้งว่า ไม่มีลูกค้ารายใดได้รับผลกระทบทั้งด้านการเงินและด้านอื่นๆอย่างแน่นอน”