СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
18 июня
#ИБ#ИИ

MetaStealer: новый DGA и ИИ в реверс-инжиниринге бэкдора

Исследователи зафиксировали развитие MetaStealer: вредоносная экосистема получила новый Domain Generation Algorithm (DGA), построенный на основе wordlist. Такая схема усложняет отслеживание инфраструктуры, поскольку домены могут меняться динамически и становиться менее предсказуемыми для защитников.

Отдельное внимание в отчете уделено тому, что proxy, связанные с MetaStealer, работают независимо от конкретных доменов. По сути, они выступают как элементы конфигурации для traffic relay на назначенные servers, а не как жестко привязанные к одному адресу узлы. Именно эта архитектурная гибкость затрудняет мониторинг и attribution.

Новый бэкдор и собственный DGA

В ходе analysis было также выявлено развивающееся ВПО, связанное с MetaStealer, которое демонстрирует признаки Trojan или backdoor. По данным расследования, этот backdoor содержит собственный DGA, что делает его поведение еще более сложным для анализа и блокировки.

Для reverse engineering исследователи использовали Claude.ai — AI-based tool, предназначенный для помощи в процессах реверс-инжиниринга. С его помощью удалось извлечь рабочий Python code, имитирующий поведение DGA.

Как проходил reverse engineering

Бинарный файл backdoor оказался в значительной степени не зашифрованным, что заметно упростило работу. Процесс включал поэтапное руководство AI через основные DGA routines и вспомогательные functions, благодаря чему Claude смог сформировать functional implementation DGA.

Однако, как показал отчет, первые результаты AI не совпадали с ожидаемыми: сгенерированные domain names оказались некорректными. Для исправления ошибок потребовалась дополнительная итерация с feedback и сравнением с sample domain outputs.

После доработки полученный Python code начал соответствовать ожидаемому поведению. Аналитики выявили и исправили ошибки в реализации, предложенной AI, после чего DGA заработал корректно.

Почему это важно для кибербезопасности

Этот кейс демонстрирует растущую роль AI в malware analysis. Он способен ускорять reverse engineering и помогать в разборе сложной логики, но не заменяет квалифицированных специалистов.

  • AI может ускорить извлечение и моделирование DGA.
  • Human analysts по-прежнему необходимы для контроля, проверки и валидации результатов.
  • Развитие подобных инструментов повышает эффективность анализа новых threats.
  • Особенно полезны они при изучении сложного поведения, связанного с emerging malware.

В отчете подчеркивается, что rapid improvement of AI tools указывает на их все более значимую роль в будущем киберугроз. В частности, речь идет о задачах, где требуется разбор нетривиальной логики и восстановление поведения вредоносного кода по фрагментам его реализации.

Хотя AI уже помогает в задачах reverse engineering, его результаты требуют обязательной проверки специалистами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: