Locky、TeslaCrypt采用新工具逃避偵測

發(fā)布: 2016-04-12 11:18 | 作者: | 來源:      

2016年04月12日10:24 來源:移動通信網(wǎng)T|T

【移動通信網(wǎng)】今天我們發(fā)現(xiàn)Locky系列勒索軟件正在積極采用一種新型工具來逃避偵測甚至感染終端。通過PaloAltoNetworksAutoFocus威脅情報服務關聯(lián)全球數(shù)據(jù),Unit42確認Locky的爆發(fā)有輕微的變化,并發(fā)現(xiàn)一個用來包裝多個惡意軟件家族的新工具。對手正在不斷尋求新技術以繞過安全控制,根據(jù)AutoFocus的數(shù)據(jù),這代表了它們的間諜情報技術正在廣泛更新。

根據(jù)我們的分析,多個惡意軟件樣本因使用由嵌入式術語字典,以分解功能和從常用的靜態(tài)分析工具隱藏它們真正的能力,混淆API調(diào)用。

(傳遞給API調(diào)用的各式奇怪命名變量)

篡改API調(diào)用使程序喪失分類密鑰名稱的能力,從而增加惡意軟件避開偵測的可能性。然而,這個發(fā)現(xiàn)令整個情況變得很有趣,因為它似乎只是一系列旨在誤導分析員的第一招。

PaloAltoNetworks已確認Locky惡意軟件最近開始使用此技術,而TeslaCrypt和Andromeda系列惡意軟件由2016年3月14日起已使用此技術。值得一提的是,這一混淆技術能被PaloAltoNetworksWildFire服務所采用的結合靜態(tài)及被動態(tài)分析系統(tǒng)偵測到,從而保護客戶免受這種威脅。


微信掃描分享本文到朋友圈
掃碼關注5G通信官方公眾號,免費領取以下5G精品資料
  • 1、回復“YD5GAI”免費領取《中國移動:5G網(wǎng)絡AI應用典型場景技術解決方案白皮書
  • 2、回復“5G6G”免費領取《5G_6G毫米波測試技術白皮書-2022_03-21
  • 3、回復“YD6G”免費領取《中國移動:6G至簡無線接入網(wǎng)白皮書
  • 4、回復“LTBPS”免費領取《《中國聯(lián)通5G終端白皮書》
  • 5、回復“ZGDX”免費領取《中國電信5GNTN技術白皮書
  • 6、回復“TXSB”免費領取《通信設備安裝工程施工工藝圖解
  • 7、回復“YDSL”免費領取《中國移動算力并網(wǎng)白皮書
  • 8、回復“5GX3”免費領取《R1623501-g605G的系統(tǒng)架構1
    		•

    本周熱點本月熱點

     

      最熱通信招聘

      最新招聘信息