Методы уклонения вредоносного ПО: запутанные файлы и данные
«Запутывание» — один из многих методов, используемых вредоносными программами для уклонения от статического анализа и традиционных решений для защиты от вредоносных программ, которые полагаются на хэши и строки для обнаружения и анализа вредоносных программ.
Дальше вы прочитаете обзор по использованию хэшей и строк для обнаружения и анализа вредоносного ПО и того, как против них используются методы запутывания.
Обнаружение и анализ вредоносных программ с использованием хэшей и строк
Традиционные антивирусы (AV) и аналитики угроз обычно обнаруживают вредоносное ПО, сравнивая хэш рассматриваемого файла с хэшем вредоносного ПО, имеющимся в их базе данных. Если совпадение найдено, файл идентифицируется как вредоносное ПО и выполняются соответствующие действия. Например, файл может быть удален, помещен в карантин, обработан для срабатывания предупреждения и т. д.
Другим методом является анализ строк. Он включает в себя поиск и анализ удобочитаемых строк текста (обычно в формате ASCII или Unicode) в файле, который иначе может состоять из нечитаемых человеком символов. Строки текста могут иногда раскрывать имена файлов, IP-адреса, URL-адреса, HTTP-запросы, ключи реестра и другую важную информацию, которая может дать подсказки о том, как работает подозреваемое вредоносное ПО.
Например, имя файла может указывать на то, что вредоносное ПО запрограммировано на создание файла. IP-адрес может указывать на сервер управления и контроля (C2) вредоносного ПО. Также записи ключей реестра могут быть ключами, которые оно намерено изменить.
Использование запутывания для изменения хэшей и строк
Авторы вредоносных программ разрабатывают способы изменения атрибутов, чтобы обойти обнаружение. Действие по изменению содержимого вредоносного файла для изменения его хэша (т. е. подписи) или приведения его строк в нечитаемый вид называется запутыванием.
Далее разберем наиболее распространенные методы запутывания.
Сжатие
Одним из способов запутать файл является его упаковка, сжатие. Упакованная или сжатая версия файла будет иметь другой хэш, чем оригинал. Это также делает несколько ранее читаемых строк непонятными. Если вы полагаетесь только на хэши и строки для анализа упакованного вредоносного ПО, вы не добьетесь большого успеха. Данный метод используют такие вредоносные программы, как Redline Stealer и Hancitor.
Шифрование
Шифрование – это элемент управления безопасностью для сохранения конфиденциальности. Команды по кибербезопасности в значительной степени полагаются на шифрование для защиты конфиденциальных данных. Этот метод делает текст нечитаемым, поэтому киберпреступники также используют его для запутывания вредоносных программ. BlackMatter и Emotet – примеры вредоносных программ, использующих шифрование для запутывания.
Кодирование
Другим методом, подобным шифрованию, является кодирование, причем наиболее популярным вариантом этого метода является кодирование Base64. Хотя оба этих метода запутывания скрывают информацию, при шифровании используются ключи, а при кодировании — нет. Вымогатель Egregor и Quasar RAT используют этот вид запутывания.
Блокировка запутанного вредоносного ПО с помощью Minerva
Хотя запутывание хитрый способ избежать обнаружения, он ни в коем случае не является непревзойденным. Платформа Minerva не полагается ни на какую форму обнаружения хэшей или сигнатур, чтобы остановить программы-вымогатели на самых ранних стадиях, и поэтому на нее совершенно не влияют какие-либо изменения, сделанные для сокрытия хэша.
Cloud Networks является официальным партнером, реализующим защиту от Minerva. Если вы хотите опробовать платформу для защиты своей компании, оставьте заявку на бесплатный пилот.
