对于恶意软件来说,杀毒软件是其在攻击目标系统中成功落地并执行的第一大阻碍。因此一些恶意软件制作者为了绕过杀毒软件的查杀,会首先将恶意软件在运行着杀毒软件的系统中运行,用于测试是否免杀。
像Virustotal这样的恶意软件信息共享平台,就集成了各个杀毒软件厂商的引擎,用来让世界各地的用户上传可疑文件,从而通过杀毒引擎的报毒名来判断文件是恶意的可能性。
但这也就导致了,一些恶意软件制作者,通过上传其制作的恶意软件,从而测试软件是否免杀。
然而,安全分析人员通过监控Virustotal上传的可疑样本,可以发现这些制作者上传的软件,从而及时下发行为规则或特征进行查杀。
因此,罗马尼亚的一个网络犯罪组织灵机一动,制作了Virustotal同款恶意软件测试查杀平台 cyberscan.org(已经无法访问)。
同时,为了盈利,他们提醒上传到他们测试免杀平台的恶意软件会被查杀,并提供了可以避免被查杀的武器:加密器(loader+签名等),别名CyberSeal和Dataprotector,通过该加密服务以逃避防病毒软件检测。该服务自2010年以来一直在地下犯罪市场上出售。(cyberscan.org)
从历史记录可以看到一些推销记录。
在推销自己的加密器前,先晒出自己的免杀图
然后开始推销自己的文件,可见加密一个文件25美元,走包周包月就划算一点。此外还有售后服务,实时支持。
如下图所示,加密器(loader)可以将软件(通常是恶意软件)中的底层代码加密或隐藏起来,伪装成无害的东西,直到将其安装到受害者的计算机上为止。
这些服务已被1560多名网络罪犯购买,并用于加密几种不同类型的恶意软件,包括远程访问木马,信息窃取程序和勒索软件。
目前,该组织管理层有两人被捕,该抓捕行动由
罗马尼亚警察(PolițiaRomână)
美国联邦调查局(FBI)
澳大利亚联邦警察(AFP)
挪威国家刑事调查局(Kripos)
参与,其中欧洲刑警组织领导该行动。
而这次打击行动,是在欧洲打击犯罪威胁多学科平台(EMPACT)的框架内进行。该平台按照优先顺序进行挨个犯罪打击。
https://ec.europa.eu/home-affairs/what-we-do/policies/police-cooperation/operational-cooperation/empact_en
参考链接:
https://www.europol.europa.eu/newsroom/news/romanian-duo-arrested-for-running-malware-encryption-service-to-bypass-antivirus-software
附录:罗马尼亚,位于东南欧巴尔干半岛东北部。
声明:本文来自黑鸟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。