Anayamath

Fancy Bear пытается победить машинное обучение новым бэкдором ( 1 фото )


Fancy Bear пытается победить машинное обучение новым бэкдором Интернет и компьютеры,apt28,fancy bear,вредоносное ПО

Преступники убрали большую часть вредоносных функций из своего первоначального бэкдора, скрыв его в огромном количестве легитимного кода.

Исследователи из Cylance провели анализ нового импланта, разработанного киберпреступной группировкой Fancy Bear (известной также как APT28). Инструмент создан с целью победить защиту на основе машинного обучения. По словам исследователей, преступники убрали большую часть вредоносных функций из своего первоначального бэкдора, скрыв его в огромном количестве легитимного кода.

Имплант представляет собой многопоточную DLL-библиотеку, который обеспечивает группировке полный доступ к целевой системе и контроль над ней. По команде C&C-сервера имплант может загружать или скачивать файлы, создавать процессы, взаимодействовать с хостом через командную оболочку и подключаться к C&C-серверу в соответствии с заданным расписанием сна/активности.

Данный подход демонстрирует утонченную работу киберпреступников. Авторы импланта маскируют его с помощью таких известных библиотек, как OpenSSL, и широко используемого компилятора POCO C ++, в результате чего 99% из более чем 3 мегабайт кода классифицируется как легитимный. Таким образом злоумышленники пытаются обойти развивающиеся системы защиты, предполагают специалисты.

В прошлом злоумышленники использовали различные способы уклонения от систем защиты компьютера, чаще всего включающие в себя шифрование частей файла для предотвращения обнаружения антивирусами. Кроме того, злоумышленники использовали алгоритмы генерации доменов для последующей загрузки кода из труднодоступных для прогнозирования локаций, обходя антивирусное сканирования. Маскировка вредоносного ПО в качестве легитимного кода — старая методика киберпреступников. Обман является ключевой частью их инструментария, однако убедить алгоритмы машинного обучения, предназначенные для обнаружения вредоносных функций кода, намного сложнее.

Группировка APT28 действует как минимум с 2007 года и специализируется на краже конфиденциальной информации, связанной с правительственными и военными структурами. APT28 систематически развивает свое вредоносное ПО и использует сложные методы кодирования, которые усложняют анализ ее вредоносов.

Взято: Тут

+2033
  • 0
  • 1 109
Обнаружили ошибку?
Выделите проблемный фрагмент мышкой и нажмите CTRL+ENTER.
В появившемся окне опишите проблему и отправьте уведомление Администрации.
Нужна органическая вечная ссылка из данной статьи? Постовой?
Подробности здесь

Добавить комментарий

  • Внимание!!! Комментарий должен быть не короче 40 и не длиннее 3000 символов.
    Осталось ввести знаков.
    • angelangryapplausebazarbeatbeerbeer2blindbokaliboyanbravo
      burumburumbyecallcarchihcrazycrycup_fullcvetokdadadance
      deathdevildraznilkadrinkdrunkdruzhbaedaelkafingalfoofootball
      fuckgirlkisshammerhearthelphughuhhypnosiskillkissletsrock
      lollooklovemmmmmoneymoroznevizhuniniomgparikphone
      podarokpodmigpodzatylnikpokapomadapopapreyprivetprostitequestionrofl
      roseshedevrshocksilaskuchnosleepysmehsmilesmokesmutilisnegurka
      spasibostenastopsuicidetitstorttostuhmylkaumnikunsmileura
      vkaskewakeupwhosthatyazykzlozomboboxah1n1aaaeeeareyoukiddingmecerealguycerealguy2
      challengederpderpcryderpgopderphappyderphappycryderplolderpneutralderprichderpsadderpstare
      derpthumbderpwhydisappointfapforeveraloneforeveralonehappyfuckthatbitchgaspiliedjackielikeaboss
      megustamegustamuchomercurywinnotbadnumbohgodokaypokerfaceragemegaragetextstare
      sweetjesusfacethefuckthefuckgirltrolltrolldadtrollgirltruestoryyuno