Подразделение eSentire по реагированию на угрозы (TRU) провело детальное исследование тактик, применяемых современными киберпреступниками для повышения эффективности вредоносного ПО. Особое внимание уделялось использованию криптографических сервисов — инструментов, которые кодируют и маскируют вредоносное ПО, уменьшая вероятность его обнаружения антивирусами и системами защиты конечных точек.
Методология упаковки и тестирования вредоносного ПО
Современные хакеры внедряют систематический подход, который включает несколько ключевых этапов:
- Упаковка: вредоносное ПО шифруется или иным образом кодируется с помощью специальных инструментов — шифровальщиков — что позволяет обойти механизмы обнаружения;
- Тестирование: после упаковки образец загружается в различные сервисы сканирования для проверки, сколько антивирусных движков смогут его распознать;
- Анализ результатов: на основе данных тестирования злоумышленники принимают решение о том, выпускать ли вредоносное ПО в оборот или повторно его упаковать, используя новые методы маскировки;
- Распространение: только после прохождения проверки и достижения минимального уровня обнаружения начинается реальное распространение вредоносного ПО.
Роль сервисов сканирования в киберпреступной экосистеме
Одним из ключевых игроков в этой нише является сервис KleenScan. Он предоставляет удобный интерфейс, позволяющий злоумышленникам загружать свои проекты и проверять их эффективность против широкого спектра антивирусных движков. При этом KleenScan официально декларирует политику «запрета распространения», что гарантирует конфиденциальность загружаемых образцов и минимизирует риск их обнаружения поставщиками средств безопасности.
Этот подход нашёл отражение и в действиях на хакерских форумах: пользователь с ником kleenscan рекламировал данный сервис незадолго до отключения конкурента — сервиса AvCheck.
Операция «Эндшпиль» и сдвиг в киберкриминальной инфраструктуре
Недавняя успешная операция правоохранительных органов под кодовым названием «Эндшпиль» (Operation Endgame) привела к деактивации сервиса AvCheck и выявлению уязвимостей, используемых киберпреступниками в их инфраструктурах. Тем не менее, хакеры быстро адаптировались, перейдя на другие сервисы, такие как KleenScan и Scanner.
Этот переход подчёркивает сразу несколько тенденций современного киберпреступного мира:
- Децентрализация — оборудование и сервисы распределены, что затрудняет их полное уничтожение;
- Гибкость и высокая скорость адаптации — злоумышленники быстро переключаются на альтернативные инструменты и пути;
- Необходимость постоянного мониторинга — только оперативный анализ и вмешательство могут эффективно противостоять таким угрозам.
Выводы
Рассмотренный процесс — упаковка, тестирование, анализ и повторная упаковка — четко демонстрирует методический и технологически продвинутый подход, лежащий в основе современных кибератак. Сервисам сканирования вредоносных программ принадлежит ключевая роль в экосистеме киберпреступности: они позволяют злоумышленникам убедиться, что их вредоносные проекты останутся незамеченными, прежде чем они начнут распространяться.
Таким образом, борьба между киберпреступниками и специалистами по кибербезопасности продолжает эволюционировать — изменения в операционной среде требуют постоянного обновления методов защиты и ответных мероприятий.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Методы обхода защиты: анализ сервисов упаковки вредоносного ПО".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.