Эксперт: Набор эксплоитов Nuclear продолжает эволюционировать

image

Теги: набор эксплоитов, функционал, антивирус

Nuclear способен доставлять индивидуальную нагрузку на каждый отдельный IP-адрес.

С каждым днем появляется все больше новых киберугроз, которые характеризуются возрастающей сложностью. Тем не менее, злоумышленники продолжают активно использовать популярные наборы эксплоитов, такие как Angler и Nuclear. Согласно некоторым данным, хакерские группировки, использующие Angler, ежегодно зарабатывают с его помощью приблизительно $60 млн, пишет специалист компании CipherTechs Майкл Фрателло (Michael Fratello) в статье на портале SecurityAffairs.

В настоящее время Angler является лидером на рынке наборов эксплоитов, следом за ним идет эксплоит-кит Nuclear, который продолжает эволюционировать. В частности, в него добавлены новые, более сложные и эффективные механизмы доставки полезной нагрузки, которые не были замечены экспертами. Одно из усовершенствований заключается в том, что механизм стал более динамичным и агрессивным.   

Методы обнаружения вредоносного ПО, используемые сигнатурными антивирусами, основаны на цифровых отпечатках (хешах). Известные файлы, независимо от того, являются они легитимными или нет, могут быть опознаны по сигнатуре. Проблема заключается в том, что модификация нагрузки, добавление или удаление нескольких байтов приводит к полному изменению хеша файла, и, соответственно, к получению возможности обхода антивирусных решений.

Анализ недавней активности Nuclear показал, что в то время как размер нагрузки файла не изменяется, фактический двоичный состав (функции, переменные) создается «на лету». Таким образом, каждой уникальной жертве доставляется нагрузка с совершенно другим хешем.

Для ухода от обнаружения новые версии Nuclear используют довольно эффективные методы. Даже в тех случаях, когда попытка заражения целевой системы оказывается неудачной, эксплоит-кит применяет техники, которые не позволяют специалистам воссоздать и проанализировать цепь инфицирования, используемую Nuclear.

Помимо прочего, разработчики набора эксплоитов реализовали возможность регистрации IP-адреса. Это значит, что Nuclear способен доставлять индивидуальную нагрузку на каждый отдельный IP-адрес, эффективно избегая детектирования антивирусным ПО.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.