Не нужно много, чтобы избежать обнаружения
Хакеры использовали некоторые основные тактики и инструменты для обхода антивирусного программного обеспечения и атак систем вирусами.
Согласно новому отчету HP Wolf Security, команда проанализировала кибератаку, в которой используется AsyncRAT, троян, обнаружение для кражи ценовой информации, и обнаружение нескольких пугающих действий, которые могут быть обмануты жертвами и защитным программным обеспечением, заставляя их думать, что это безопасность.
Это выявление переименования расширенных файлов, увеличение размера файла, чтобы его нельзя было сканировать, и с использованием нескольких языков программирования в рамках общей атаки.
Уклонение от обнаружения
Троянец находится в пакетном файле, который обычно вызывает подозрение в системе кибербезопасности. Но, изменчиво связанное с ним расширение имени файла с .bat на .pdf и замаскировав полезную нагрузку под счет или что-то вроде, удалось найти обмануть свои жертвы, заставив их загрузить ее.
Проводник Windows по умолчанию скрывает настоящие расширения, поэтому вместо того, чтобы имя файла отображалось как «.pdf.bat», что с большей вероятностью воспроизводилось бы появление подозрения, вместо этого оно просто отображалось как «.pdf», и поэтому выглядело законным. . HP Wolf Security для иностранных компаний.
> Это типы файлов, которые, скорее всего, скрывают вредоносное ПО
> Эта коварная вредоносная программа оставалась незамеченной в течение пяти лет и была связана с заболеванием.
> Может ли вредоносное ПО остаться незамеченным?
Киберпреступники также увеличивают размер своей полезной нагрузки, просто добавляя бесполезный двоичный код, иногда до 2 ГБ, что означает, что они могут пройти незаметно.
Однако хитрость закономерности в том, что наблюдаемый двоичный код часто повторяется секциями, а это значит, что его можно сжать в архивный файл всего до нескольких мегабайт, что делает его видимым для массовых спам-кампаний.
Другой трюк, обнаружение обнаружения AsyncRAT, обнаруживается в том, что они использовали несколько языков, чтобы избежать обнаружения. Сама полезная нагрузка была зашифрована с помощью Go, а инструменты обнаружения вредоносных программ в обнаружении были отключены, чтобы она могла пройти незамеченной.
В сочетании с этой системой атака использовала C++ для запуска вредоносного ПО .NET в памяти, что привело к меньшему следу, чем если бы оно было сохранено на жестком диске, что снова выявило шансы обнаружения.
Для запуска файлов .NET в памяти с помощью C++ требуются расширенные знания о том, как работает Windows, — знания, которые не являются общедоступными. Тем не менее, инструменты, которые позволяют достичь этого, продаются на хакерских форумах, чтобы другие могли использовать их, не нуждаясь в специальных знаниях.
Патрик Шлеп, аналитик австралийских программ в исследовательской группе HP Wolf Security, говорит, что «подкованные в ИТ масштабы используют простые инструменты, которые легко купить в даркнете, для проведения сложных и изощренных атак».
«Вероятно, эта конкретная атака была осуществлена с использованием одного и того же сервера с одним и тем же сервером с одним IP-адресом для распространения спам-сообщений и системы управления».
- Это лучший брандмауэр для защиты
Вы профессионалы? Подписывайтесь на нашу новостную рассылку
Свяжитесь со мной, чтобы сообщить новости и предложения от других брендов Future. Получите от нас электронные письма от имени наших доверенных партнеров или спонсоров. Отправляя свою информацию, вы соглашаетесь с Условиями использования и Политикой конфиденциальности и вам исполнилось 16 лет.
Источник
Tоп товаров AliExpress
Системы обнаружения вторжений. Основные функции. Схемы применения. Примеры (Парилов Иван)
Доклады студентов в рамках дисциплины "Защита программ и данных"