![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Unsch\u00f6ne Erkenntnis: Sicherheitsforscher haben erstmals Malware entdeckt, die Process Doppelg\u00e4nging f\u00fcr Angriffe unter Windows verwendet. Hier ein paar Informationen, was man zum Thema wissen sollte.<\/p>\nUnsch\u00f6ne Erkenntnis: Sicherheitsforscher haben erstmals Malware entdeckt, die Process Doppelg\u00e4nging f\u00fcr Angriffe unter Windows verwendet. Hier ein paar Informationen, was man zum Thema wissen sollte.<\/p>\n
<\/p>\n
Bei diesem Begriff handelt es sich um eine Technik, die Malware erm\u00f6glicht, die meisten modernen Antivirenl\u00f6sungen und forensischen Tools zu \u00fcberlisten. Damit k\u00f6nnte dateilose Malware auf allen Windows-Versionen unter dem Radar von Virenscannern hindurch schl\u00fcpfen. <\/p>\n
Diese Angriffsmethode wurde durch ein Team von Sicherheitsforschern vor einiger Zeit entdeckt und vor Monaten von den Sicherheitsspezialisten Tal Liberman<\/a> und Eugene Kogan von eSilo auf der Blackhat-Konferenz in London vorgestellt<\/a> worden. Die Process Doppelg\u00e4nging getaufte Technik der dateilosen Code-Injektion nutzt die Vorteile einer Windows-Funktion und einer undokumentierten Implementierung des Windows Process Loaders.<\/p>\n Ich hatte diese Angriffsmethode, die ein Team von Sicherheitsforschern vor einem halben Jahr entdeckte, im Blog-Beitrag Process Doppelg\u00e4nging: Malware-Angriff f\u00fcr alle Windows-Versionen m\u00f6glich<\/a> beschrieben. <\/p>\n Sicherheitsforscher von Kaspersky Lab haben nun den erste Ransomware-Exploit Process Doppelg\u00e4nging entdeckt, welcher Malware dabei helfen k\u00f6nnte, sich der Erkennung zu entziehen. Das berichtet The Hacker News in diesem Beitrag<\/a> \u2013 der Artikel von Kaspersky findet sich hier<\/a>.<\/p>\n Interessant ist, dass die Ransomware bereits im September 2017 entdeckt wurde. Die SynAck-Ransomware verwendete komplexe Verschleierungstechniken, um Reverse Engineering zu verhindern. Aber die Forscher haben es geschafft, sie zu entpacken und ihre Analyse in einem Blog-Post zu ver\u00f6ffentlichen.<\/p>\n Interessant an SynAck ist, dass diese Ransomware keine Opfer aus bestimmten L\u00e4ndern wie Russland, Wei\u00dfrussland, der Ukraine, Georgien, Tadschikistan, Kasachstan und Usbekistan infiziert. Um das Land eines bestimmten Benutzers zu identifizieren, vergleicht die SynAck-Ransomware die auf dem PC des Benutzers installierten Tastaturlayouts mit einer in der Malware gespeicherten Liste. Wenn eine \u00dcbereinstimmung gefunden wird, schl\u00e4ft die Ransomware 30 Sekunden lang und ruft dann ExitProcess auf, um die Verschl\u00fcsselung von Dateien zu verhindern.<\/p>\n Die SynAck-Ransomware verhindert auch die automatische Sandbox-Analyse, indem es das Verzeichnis \u00fcberpr\u00fcft, von dem es ausgef\u00fchrt wird. Wenn es einen Versuch gefunden hat, die b\u00f6sartige ausf\u00fchrbare Datei aus einem 'falschen' Verzeichnis zu starten, wird SynAck nicht weiter vorgehen und sich stattdessen selbst beenden.<\/p>\n Bei einem infizierten System erh\u00e4lt der Benutzer die in obigem Screenshot gezeigte Benachrichtigung auf der Anmeldeseite angezeigt. <\/p>\n Einmal infiziert verschl\u00fcsselt SynAck den Inhalt jeder infizierten Datei mit dem AES-256-ECB-Algorithmus und zeigt die obige Meldung. Nur wenn das Opfer auf das Angebot eingeht, will man die Dateien restaurieren. Derzeit hat Kaspersky nur einige Angriffe in den USA, Kuwait, Deutschland und dem Iran beobachtet. Das l\u00e4sst vermuten, dass es sich dabei um gezielte Angriffe mit L\u00f6segeldforderungen handelt. Weitere Details sind bei Kaspersky im Blog nachzulesen<\/a>. <\/p>\n","protected":false},"excerpt":{"rendered":" Unsch\u00f6ne Erkenntnis: Sicherheitsforscher haben erstmals Malware entdeckt, die Process Doppelg\u00e4nging f\u00fcr Angriffe unter Windows verwendet. Hier ein paar Informationen, was man zum Thema wissen sollte.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4715,4328,4325],"class_list":["post-204092","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-ransomware","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/204092","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=204092"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/204092\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=204092"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=204092"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=204092"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Malware nutzt den Angriff erstmals aus<\/h2>\n
![\"Ransomware-Benachrichtigung\"](\"https:\/\/media.kasperskycontenthub.com\/wp-content\/uploads\/sites\/43\/2018\/05\/04152924\/180504-SynAck-ransomware-14.png\" "\\"Ransomware-Benachrichtigung\\"")
(Ransomware-Benachrichtigung Quelle: Kaspersky)<\/p>\n![\"synack-ransomware\"](\"https:\/\/1.bp.blogspot.com\/-TmNelytcEX4\/WvBAx6TNQpI\/AAAAAAAAwkI\/CCIa4P2-qLgdYuXpXRqe8-qJicXlZ4akACLcBGAs\/s728-e20\/synack-ransomware.png\" "\\"synack-ransomware\\"")
<\/a>
(Ransomware-Meldung, Quelle: The Hacker News) <\/p>\n