СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
04.03.2025
#ИБ#Инфра

Эволюция обфускации: новые методы уклонения вредоносных программ

Эволюция обфускации: новые методы уклонения вредоносных программ

Источник: unit42.paloaltonetworks.com

Недавний анализ показал значительные достижения в методах обфускации вредоносных программ, особенно в отношении таких известных семейств, как Agent Tesla, XWorm и FormBook/XLoader. Эти методы нацелены на избегание обнаружения, используя сложные техники, которые препятствуют статическому анализу, проводимому изолированными системами безопасности.

Криптография и обфускация

Центральное место в этих методах занимает использование криптографии Advanced Encryption Standard (AES), что обеспечивает более надежную защиту по сравнению с простыми методами, такими как XOR. Это позволяет авторам вредоносных программ шифровать полезную нагрузку, осложняя задача систем обнаружения анализировать эти файлы без их выполнения.

Сложные методы уклонения

Одним из известных методов является виртуализация кода, которая преобразует вредоносный код в пользовательские инструкции. Это затрудняет анализ, требуя знаний о тонкостях интерпретатора для эффективного дизассемблирования или обратного проектирования.

Кроме того, злоумышленники все чаще применяют следующие тактики:

  • Поэтапная загрузка полезных данных, заключающая основные функции в многоуровневые пакеты.
  • Использование области наложения PE для скрытия важной информации.
  • Динамическая загрузка кода через .NET reflection.

Конкретные примеры и их последствия

Анализ также выявил использование загрузчика .NET, который функционирует как дроппер для загрузки последующего дроппера KoiVM. Этот процесс затем разворачивает значительную полезную нагрузку, such as Agent Tesla и Remcos RAT. Многоуровневая архитектура атак говорит о предпочтении модульного дизайна, позволяющего динамически настраивать и запускать атаки.

Одно из семейств вредоносных программ показало тесно интегрированную структуру, где конечная полезная нагрузка, в основном из семейств Agent Tesla или XWorm, была встроена в зашифрованную полезную нагрузку второго этапа, расшифровка которой происходит в памяти во время выполнения.

Проблемы кибербезопасности

Ключ шифрования хранится в переменной с именем Mutex, что позволяет восстанавливать параметры конфигурации, включая важную информацию о сервере контроля (C2). Такие триггеры показывают, что продолжающееся развитие методов обфускации создает серьезные проблемы для систем защиты.

Изучение сложных методов, таких как AES шифрование и виртуализация кода, демонстрирует, как злоумышленники эффективно распространяют вредоносное ПО, уклоняясь от обнаружения с помощью стандартных мер безопасности, что требует постоянного обновления систем обнаружения и исследований в области автоматизированных методов распаковки.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: