Дослідження ESET: унікальні методи обфускації шкідливих програм

Наступна новина

Компанія ESET — лідер в галузі інформаційної безпеки — попереджає про появу нових методів обфускації, які використовуються зловмисниками для уникнення виявлення та аналізу шкідливих програм. Нові унікальні способи обфускації (заплутування коду)  були зафіксовані в ході дослідження нового модуля ботнету Stantinko, який було виявлено наприкінці 2019 року.

Які методи  заплутування програм використовують зловмисники?

 «Техніки для захисту від виявлення, з якими ми стикалися під час дослідження, часто були більш досконалими, ніж самі шкідливі програми», — коментує дослідник шкідливих програм ESET, який займався аналізом модуля для майнінгу криптовалют Stantinko.

Серед методик, які кіберзлочинці використовували для захисту своїх програм від виявлення виділяються дві — обфускація рядків та обфускація потоку керування. Зокрема, заплутування рядків коду спирається на створення важливих рядків, які присутні або будуються  в пам'яті лише тоді, коли їх потрібно використовувати. Обфускація потоку керування перетворює його у складну для читання форму, оскільки порядок виконання основних блоків непередбачуваний без широкого аналізу.

«Ми детально досліджуємо ці методи та шукаємо способи, які допоможуть обійти техніки зловмисників», — додає дослідник ESET.

Крім вже згаданих способів заплутування, автори шкідливого програмного забезпечення також застосовували й інші техніки: мертвий код, код, який нічого не виконує, а також мертві рядки та ресурси. Усі ці техніки призначені для запобігання виявленню, завдяки чому файли зловмисників виглядають більш легітимними.

Кіберзлочинці, які стоять за ботнетом Stantinko, постійно вдосконалюють свої інструменти та розробляють нові. Саме тому спеціалісти ESET рекомендують використовувати надійні антивірусні рішення, до складу яких входить модуль «Захист від ботнетів» (наприклад, ESET Smart Security Premium).

Більш детальну інформацію про виявлені методи заплутування можна знайти у повній версії дослідження, яке доступне за посиланням.