Компания ESET — лидер в области информационной безопасности — предупреждает о появлении новых методов обфускации, которые используются злоумышленниками для избежания обнаружения и анализа вредоносных программ. Новые уникальные способы обфускации (запутывания кода) были зафиксированы в ходе исследования нового модуля ботнета Stantinko, который был обнаружен в конце 2019 года.
Какие методы запутывания программ используют злоумышленники ?
«Техники для защиты от обнаружения, с которыми мы сталкивались в ходе исследования, часто были более совершенными, чем сами вредоносные программы», — комментирует исследователь ESET, который занимался анализом модуля для майнинга криптовалют Stantinko.
Среди методик, которые киберпреступники использовали для защиты своих программ от обнаружения выделяются две — обфускация строк и обфускация потока управления. В частности, запутывание строк кода опирается на создание важных строк, которые присутствуют или строятся в памяти только тогда, когда их нужно использовать. Обфускация потока управления превращает их в сложную для чтения форму, поскольку порядок выполнения основных блоков непредсказуемый без широкого анализа.
«Мы подробно анализируем эти методы и ищем способы, которые помогут обойти техники злоумышленников», — добавляет исследователь ESET.
Кроме уже упомянутых способов запутывания, авторы вредоносного программного обеспечения также применяли и другие техники: мертвый код, код, который ничего не выполняет, а также мертвые строки и ресурсы. Все эти техники предназначены для предотвращения выявления, благодаря чему файлы злоумышленников выглядят более легитимными.
Киберпреступники, стоящие за ботнетом Stantinko, постоянно совершенствуют свои инструменты и разрабатывают новые. Именно поэтому специалисты ESET рекомендуют использовать надежные антивирусные решения, в состав которых входит модуль «Защита от ботнетов» (например, ESET Smart Security Premium).
Более подробную информацию о выявленных методах запутывания можно найти в полной версии исследования, которое доступно по ссылке.