详细内容或原文请订阅后点击阅览
观点:恶意软件活动的更多层次并不代表其复杂性
部署恶意软件的十个感染和保护层听起来令人印象深刻,而且很难处理。然而,增加更多的层与直觉相反,对防病毒逃避产生相反的效果,并不是复杂性的标志。为什么会这样?
来源:G DATA _恶意软件对于Fortinet发现的恶意软件,威胁参与者使用了以下开源混淆器:Kramer,somalifuscatorv2,abobus obfuscator(在某些情况下使用[1]而不是somalifuscatorv2)。这些混淆器不是恶意软件,也可以由合法软件使用它们来防止反向工程。
Kramer somalifuscatorv2 abobus obfuscator [1]futhermore,威胁性参与者使用了恶意软件/壳牌装载机Lazzzy和Donut,由于他们专注于恶意软件逃避而被视为恶意,例如,甜甜圈补丁Antimware扫描界面和Lazzzy可以选择带有欺骗证书的文件。
Lazzzy 甜甜圈即使是某些恶意软件有效载荷本身也是开源的,例如X虫大鼠。
开源恶意软件加载器(如Donut)确实是可以被认为是复杂的工具。甜甜圈很难从头开始反向工程。我尝试了一下,直到我发现甜甜圈有一个解码器,这也是开源的。但是,甜甜圈已经闻名了多年,因此它生成的代码是由防病毒供应商良好发现的。 Lazzzy也是如此。
甜甜圈的解码器添加任何未经改变的开源恶意软件装载机在已经令人费解的感染链中,似乎是一种偶然的尝试逃避防病毒扫描仪。在德国,我们称之为“ Verschlimmbesserung”,这是一个名词,大致转化为使某些东西“更糟糕”,或者“使事情变得更糟,以改善它们”,所有这些都可以通过将所有这些工具结合到威胁性演员的所有这些工具来使墙上的东西在墙上抛在墙上,希望最终会粘住某些东西。但这不是任何一种工作方式。