La nouvelle variante du rançongiciel SynAck contourne la sécurité grâce à la technique avancée du Doppelgänging

08 mai 2018

Les chercheurs de Kaspersky Lab ont découvert une nouvelle variante du cheval de Troie SynAck. Ce rançongiciel utilise la technique du Doppelgänging : le virus se niche dans des processus légitimes et contourne ainsi la protection antivirus. C’est la première fois que la technique du Doppelgänging a été observée dans un rançongiciel « en situation réelle ». Les développeurs de SynAck appliquent encore plus d’astuces pour contourner la détection et l’analyse. En effet, tout code malveillant est rendu illisible avant la compilation et le programme est immédiatement fermé s’il soupçonne qu’il tourne dans un bac à sable.
Le rançongiciel SynAck est connu depuis l’automne 2017. En décembre, on a découvert que le rançongiciel ciblait principalement des utilisateurs anglophones. Dans un premier temps, une attaque de type « xbrute force » intervient en utilisant le protocole RDP (Remote Desktop Protocol), après quoi le malware est téléchargé et installé manuellement.. La nouvelle variante découverte par les chercheurs de Kaspersky Lab est beaucoup plus sophistiquée et fait appel à la technique de Doppelgänging qui contourne la détection.
La technique de Doppelgänging Process rapportée en décembre 2017 relève de la catégorie des logiciels malveillants sans fichier. Dans ce cas, le code est chargé directement dans la mémoire sans fichier. Le code utilise une fonction Windows intégrée et une implémentation non documentée du chargeur de processus Windows. La façon dont Windows traite les transactions de fichiers est manipulée. Ce faisant, les actions malveillantes peuvent s’effectuer comme des processus innocents et légitimes. Même si un code déjà connu est utilisé. Le Doppelgänging ne laisse aucune trace, ce qui rend la détection de ce type d’intrusion extrêmement difficile. C’est la première fois qu’un rançongiciel qui utilise cette technique a été découvert « en situation réelle ».
Autres caractéristiques marquantes de la nouvelle variante SynAck

-Avant la compilation, le cheval de Troie rend son code exécutable illisible au lieu de l’empaqueter, comme le font la plupart des rançongiciels. Cela rend plus difficile la manipulation et l’analyse du code.
-Il cache les liens vers la fonction API nécessaire et ne stocke pas les chaînes lui-même, mais les hachages vers les chaînes.
-Lors de l’installation, le cheval de Troie examine de très près le répertoire à partir duquel le code exécutable est lancé.. Toute indication qu’il s’agit d’un dossier « incorrect » – par exemple, un éventuel bac à sable automatisé – annulera immédiatement le programme.
Le logiciel malveillant sera également interrompu si le clavier du PC est configuré en écriture cyrillique.
-Avant de chiffrer les fichiers, SynAck compare les hachages de tous les processus et services actifs à sa propre liste programmée en dur. Lorsqu’une correspondance est trouvée, le logiciel malveillant tente de mettre fin au processus. Il se peut que cette approche facilite l’obtention de fichiers de valeur qui sont autrement actifs. Il s’agit de processus tels que des machines virtuelles, des applications bureautiques, l’interprétation de scripts, des applications de bases de données, des systèmes de sauvegarde et des jeux.
Les chercheurs sont d’avis que les attaques avec cette nouvelle variante de SynAck sont très ciblées. Jusqu’à présent, ils ont observé un nombre limité d’attaques aux États-Unis, au Koweït, en Allemagne et en Iran, avec des rançons de 3 000 USD.
« La lutte entre pirates et défenseurs dans le cyberespace est sans fin », déclare Jornt van der Wiel, chercheur en sécurité chez Kaspersky Lab. « Grâce à la technique du Doppelgänging, les logiciels malveillants peuvent éviter les dernières mesures de sécurité en passant totalement inaperçus. Il n’est dès lors pas étonnant que les cybercriminels se précipitent pour l’utiliser. Nos recherches montrent que SynAck, un rançongiciel ciblé qui attire relativement peu l’attention, applique cette technique pour améliorer sa furtivité et son infectiosité. Fort heureusement, nous avons mis en œuvre la logique de détection avant que ce rançongiciel n’apparaisse en situation réelle. »
Kaspersky Lab a détecté cette variante SynAck sous les formes suivantes : Trojan-Ransom.Win32.Agent.abwa, Trojan-Ransom.Win32.Agent.abw, PDM:Trojan.Win32.Generic
Kaspersky Lab recommande les mesures suivantes pour protéger les utilisateurs et les appareils des rançongiciels :
-sauvegardez régulièrement ;
-utilisez une solution de protection fiable avec détection comportementale qui peut inverser les actions malveillantes ;
-les logiciels de tous vos appareils doivent toujours être actualisés ;
-si vous êtes une entreprise, assurez-vous que vos employés et vos équipes informatiques soient formés en continu.  Conservez les données sensibles séparément et limitez-en l’accès.  Utilisez une solution de sécurité spécialisée, telle que Kaspersky Endpoint Security for Business ;
-dans le cas improbable où vous seriez victime d’un chiffreur, ne paniquez pas. 
Misez sur un système propre en vous rendant sur notre site No More Ransom. Vous y trouverez peut-être un outil de décodage qui peut vous aider à récupérer vos fichiers.
Source : Kaspersky Lab

Laissez une réponse

Votre adresse email ne sera pas publiée. Les champs obligatoires sont indiqués *