Fancy Bear намагається перемогти машинне навчання за допомогою нового бекдора.

09:21
Fancy Bear намагається перемогти машинне навчання за допомогою нового бекдора.

   Дослідники з Cylance провели аналіз нового імпланта, розробленого кіберзлочинним угрупованням Fancy Bear (відомого також як APT28). Інструмент створений з метою перемогти захист на основі машинного навчання. За словами дослідників, злочинці забрали більшу частину шкідливих функцій зі свого первісного бекдора, приховавши його у величезній кількості легітимного коду.

  Імплант є багатопотоковою DLL-бібліотекою, який забезпечує угрупованню повний доступ до цільової системі і контроль над нею. За командою C & C-сервера імплант може завантажувати або закачувати файли, створювати процеси, взаємодіяти з хостом через командну оболонку і підключатися до C & C-сервера відповідно до заданого розкладу сну / активності.
     Даний підхід демонструє витончену роботу кіберзлочинців. Автори імпланта маскують його за допомогою таких відомих бібліотек, як OpenSSL, і широко використовуваного компілятора POCO C ++, в результаті чого 99% з більш ніж 3 мегабайт коду класифікується як легітимний. Таким чином зловмисники намагаються обійти системи захисту що розвиваються, припускають фахівці.
    У минулому зловмисники використовували різні способи ухилення від систем захисту комп'ютера, які найчастіше включають в себе шифрування частин файлу для запобігання виявлення антивірусами. Крім того, зловмисники використовували алгоритми генерації доменів для подальшого завантаження коду з важкодоступних для прогнозування локацій, обходячи антивірусне сканування. Маскування шкідливого ПЗ в якості легітимного коду — стара методика кіберзлочинців. Обман є ключовою частиною їх інструментарію, проте переконати алгоритми машинного навчання, призначені для виявлення шкідливих функцій коду, набагато складніше.
    Угруповання APT28 діє як мінімум з 2007 року і спеціалізується на крадіжці конфіденційної інформації, пов'язаної з урядовими та військовими структурами. APT28 систематично розвиває своє шкідливе ПЗ і використовує складні методи кодування, які ускладнюють аналіз її шкідливий.

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.