W jaki sposób nowoczesny malware jest nieuchwytny

Cyberprzestępcy używają najnowocześniejszych technik do przeprowadzania ataków, które są zazwyczaj nie do wykrycia. W tym celu używają algorytmów szyfrowania, technik obfuskacyjnych (wymijających), oraz stosują wzorce wypracowanych przez organizacje przestępcze do działań w cyberprzestrzeni. Do stworzenia malware używane są algorytmy szyfrujące takie jakRC5, RC6, RC4, ASE itd.. w powiązaniu z innymi kryptograficznymi funkcjami i haszami.

Jedną z najbardziej wyrafinowanych technik jaką można spotkać jest loader, który używa unikalnego identyfikatora obiektu ID (NTSF) folderu Windows zainfekowanej ofiary zaszyfrowanego tysiąc razy przez SHA-256, w celu odszyfrowania następnego ciągu z rejestru systemu! Ale po co takie kombinacje? Wszystko jest perfekcyjne obmyślone żeby jednoznacznie powiązać infekcję do konkretnego urządzenia, oraz oznacza że payload nie może zostać odszyfrowany bez znajomości identyfikatora obiektu NTFS.

Cyberprzestępcy korzystają z różnych platform, które są ciągle ulepszane. Platforma składa się z głównego modułu oraz implantów, które mogą być dynamicznie wgrywane, bądź też usuwane przez atakujących. Jednym z implantów jest tzw walidator, zaprojektowany aby potwierdzić zamierzony cel. Jeśli cel jest potwierdzony wtedy wgrywany jest inny moduł, który jest bardziej wyrafinowany i stworzony do konkretnego celu. Cykl zdobywania interesującej ofiary wygląda następująco:

1. Pierwszy etap to zainfekowanie ofiary poprzez web-based exploit który może znajdować się na zainfekowanych forach oraz stronach.
2. Walidator sprawdza czy ofiara jest interesującym celem.
3. Wgranie pełnej wersji szpiegowskiego złośliwego oprogramowania.

Exploit wykorzystuje daną podatność do wstrzyknięcia paylodu, natomiast payload może służyć do nawiązania komunikacji z serwerem C&C.