Nul
Elke dag wordt nieuwe malware samples zijn blootgelegd, variërend van zero-day exploits om ransomware-varianten.
Met malware nu zo vaak en succesvolle cyberaanvallen biedt potentieel hoog-zij het criminele — retourneert, is er weinig noodzaak voor tuin-diverse hackers om te leren hoe de ontwikkeling van exotische, aangepaste kwaadaardige code.
In plaats daarvan, off-the-shelf malware kunnen worden gekocht eenvoudig door iedereen. Terwijl een aantal van de meest geavanceerde vormen van malware kunnen ophalen prijzen van $7.000 en meer, het is ook mogelijk om te pick-up exploit kits en nog veel meer voor veel minder, of zelfs gratis.
Het probleem met deze zogenaamde “commodity” malware is dat de antivirus bedrijven zijn zich goed bewust van hun bestaan en dus voor te bereiden op hun oplossingen in overeenstemming met handtekeningen dat het detecteren van de malware-families voordat ze schade kunnen veroorzaken.
Dus, hoe doen dreigingen omzeilen van deze bescherming?
Dit is bekend als verduistering.
Het doel van de verwarring is te anonimiseren cyberattackers, verminderen het risico van blootstelling, en het verbergen van malware door het veranderen van de totale handtekening en vingerafdruk van kwaadaardige code, ondanks de lading wordt een bekende bedreiging.
In een Threat Intelligence Bulletin, cybersecurity bedrijf Cylance heeft uitgelegd hoe de techniek werkt.
“De handtekening is slechts een hash,” de onderzoekers opmerking. “In deze context, een ‘hash’ verwijst naar een unieke alfanumerieke weergave van een stuk van malware. Handtekeningen zeer vaak, hashes, maar ze kunnen ook enkele andere korte weergave van een unieke code in een stuk van malware”.
CNET: Apple is het opbouwen van een online portal voor de politie om gegevens te verzoeken
Eerder dan te proberen om een nieuwe handtekening door het veranderen van malware zelf, verduisteren in plaats daarvan richt zich op de mechanismen in een poging om de dupe antivirus oplossingen die sterk afhankelijk zijn van de handtekeningen. (In vergelijking tot het gebruik van machine learning, predictive analytics, en AI voor het versterken van de AV, sommige onderzoekers beweren dat heeft het potentieel om te worden achterhaald.)
Zie ook: Mirai, Gafgyt IoT botnets stab systemen met Apache Struts, SonicWall exploits
Verwarring kunnen bestaan uit een verscheidenheid van technieken om malware te verbergen, het maken van lagen van duisternis die Cylance vergelijkt met “geneste cijfers in een russische pop.”
Deze technieken zijn:
Packers: Deze software pakketten zal comprimeren malware programma ‘ s te verbergen voor hun aanwezigheid, het maken van originele code onleesbaar.Crypters: Crypters kan coderen malware programma ‘ s, of delen van de software, om de toegang te beperken tot code die kon alarm een antivirus product op bekende handtekeningen.Dode code invoegen: niet effectief, nutteloze code kan worden toegevoegd aan de malware te verdoezelen programma ‘ s verschijning.Instructie wijzigingen: Bedreiging actoren kan veranderen instructie codes in malware van de oorspronkelijke monsters die uiteindelijk het veranderen van het uiterlijk van de code, maar niet het gedrag — alsmede het wijzigen van de volgorde en het verloop van scripts.Exclusieve of operatie (XOR): Deze gemeenschappelijke methode van verduistering verbergt gegevens, zodat het niet kan worden gelezen, tenzij getrainde ogen toepassing XOR waarden van 0x55 aan de code.ROT13: Deze techniek is een ASM-instructie voor het “draaien” die vervangt de code voor willekeurige letters.
TechRepublic: Waarom het hoger onderwijs is een van de ergste industrieën in het omgaan met cyberaanvallen
“Terwijl sommige antivirus producten te zoeken naar gemeenschappelijke verduisteren van technieken, zodat ook zij op de zwarte lijst staan, deze praktijk is niet zo bekend als de zwarte lijst van malware lading handtekeningen,” zeggen de onderzoekers.
In een interessant voorbeeld van de verwarring die onlangs onder de radar, Cylance gevonden dat een Microsoft Windows-hulpprogramma, genaamd PowerShell wordt misbruikt door aanvallers.
Een malware steekproef verkregen door de vennootschap was .ZIP-bestand met daarin een PDF-document en VBS script dat gebruikt rudimentaire Base64-codering te verdoezelen één laag.
Dit werd gevolgd door het gebruik van string splitsen, markeringen en willekeurige letter manier op te splitsen en wijzigen van de handtekening.
Een bepaald bestand in het pakket, 1cr.dat, bleek het gebruik van een andere verwarring methode. Dit was een string encryptie instellen, de zogenaamde SecureString, die gewoonlijk wordt gebruikt door legitieme toepassingen voor het coderen van gevoelige snaren van de code binnen de applicaties met behulp van Microsoft ‘ s built-in DPAPI.
De lading bevatte ook instructies om te voorkomen dat zandbakken, die worden gebruikt door security-onderzoekers om uit te pakken en het analyseren van malware.
Op het moment van ontdekking, slechts drie antivirus handtekening motoren gedetecteerd, wordt de poging tot verduistering en slechts twee ingeschreven de malware op het eerste implementatie. Dit is nu gestegen naar 18 producten.
Voor zo lang als malware bestaat, zo zal verduisteren. Hoewel er weinig dat de dagelijkse gebruikers kunnen doen over de aanval methode, cybersecurity bedrijven nemen kennisgeving — als nu, het is niet alleen nul-dagen, die van belang zijn, maar door het toenemende gebruik van de gemeenschappelijke malware op een creatieve manier.
Cylance zei:
“Bedreiging actoren zijn in toenemende mate met behulp van verduistering technieken in combinatie met grondstoffen malware.
Deze trend gaat in tegen een wijd verspreide veronderstelling in de beveiliging van informatie, de ruimte die stelt dat zeer op maat gemaakte malware gepaard met de zero-day exploits zijn, verdient de meeste aandacht.
En terwijl het gebruik van die hulpmiddelen is het over en moet bewaakt worden, aandacht moet niet volledig worden ontdaan van die dreigingen, waaronder geavanceerde dreigingen – die slagen nu op het omzeilen van antivirus producten met hulpprogramma ‘ s die niet “zero – day”, maar “elke dag.”
Vorige en aanverwante dekking
‘Vader van Zeus Kronos malware, exploits Office bug te kapen uw bankrekening Hoe om te stelen van een Tesla Model S in seconden LuckyMouse maakt gebruik van kwaadaardige NDISProxy Windows driver te richten gov’ t entiteiten
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0