Locky、TeslaCrypt采用新工具逃避偵測

發(fā)布: 2016-04-12 11:18 | 作者: | 來源:      

2016年04月12日10:24 來源:移動通信網(wǎng)T|T

【移動通信網(wǎng)】今天我們發(fā)現(xiàn)Locky系列勒索軟件正在積極采用一種新型工具來逃避偵測甚至感染終端。通過PaloAltoNetworksAutoFocus威脅情報服務(wù)關(guān)聯(lián)全球數(shù)據(jù),Unit42確認Locky的爆發(fā)有輕微的變化,并發(fā)現(xiàn)一個用來包裝多個惡意軟件家族的新工具。對手正在不斷尋求新技術(shù)以繞過安全控制,根據(jù)AutoFocus的數(shù)據(jù),這代表了它們的間諜情報技術(shù)正在廣泛更新。

根據(jù)我們的分析,多個惡意軟件樣本因使用由嵌入式術(shù)語字典,以分解功能和從常用的靜態(tài)分析工具隱藏它們真正的能力,混淆API調(diào)用。

(傳遞給API調(diào)用的各式奇怪命名變量)

篡改API調(diào)用使程序喪失分類密鑰名稱的能力,從而增加惡意軟件避開偵測的可能性。然而,這個發(fā)現(xiàn)令整個情況變得很有趣,因為它似乎只是一系列旨在誤導(dǎo)分析員的第一招。

PaloAltoNetworks已確認Locky惡意軟件最近開始使用此技術(shù),而TeslaCrypt和Andromeda系列惡意軟件由2016年3月14日起已使用此技術(shù)。值得一提的是,這一混淆技術(shù)能被PaloAltoNetworksWildFire服務(wù)所采用的結(jié)合靜態(tài)及被動態(tài)分析系統(tǒng)偵測到,從而保護客戶免受這種威脅。


微信掃描分享本文到朋友圈
掃碼關(guān)注5G通信官方公眾號,免費領(lǐng)取以下5G精品資料
  • 1、回復(fù)“YD5GAI”免費領(lǐng)取《中國移動:5G網(wǎng)絡(luò)AI應(yīng)用典型場景技術(shù)解決方案白皮書
  • 2、回復(fù)“5G6G”免費領(lǐng)取《5G_6G毫米波測試技術(shù)白皮書-2022_03-21
  • 3、回復(fù)“YD6G”免費領(lǐng)取《中國移動:6G至簡無線接入網(wǎng)白皮書
  • 4、回復(fù)“LTBPS”免費領(lǐng)取《《中國聯(lián)通5G終端白皮書》
  • 5、回復(fù)“ZGDX”免費領(lǐng)取《中國電信5GNTN技術(shù)白皮書
  • 6、回復(fù)“TXSB”免費領(lǐng)取《通信設(shè)備安裝工程施工工藝圖解
  • 7、回復(fù)“YDSL”免費領(lǐng)取《中國移動算力并網(wǎng)白皮書
  • 8、回復(fù)“5GX3”免費領(lǐng)取《R1623501-g605G的系統(tǒng)架構(gòu)1
    		•

    本周熱點本月熱點

     

      最熱通信招聘

    業(yè)界最新資訊

      最新招聘信息