Cylance 연구원은 사이버 범죄 그룹 팬시 베어에 의해 개발 된 새로운 임플란트 분석 (또한 APT28로 알려진). 멋진 곰을 출시 새로운 백도어는 인공 지능과 기계 학습을 기반으로 물리 치고 방어의 목적으로 생성된다.
에이연구자에 ccording, 그만큼 범죄자 제거 원래 백도어에서 악성 대부분의 기능, 합법적 인 코드의 엄청난 금액에 숨어.임플란트 인 멀티 스레드 DLL 라이브러리, 이는 위에 대상 시스템 및 제어에 그룹화 전체 액세스 권한을 제공합니다.
"분석 임플란트가 위협 배우를 제공하는 다중 스레드 DLL의 백도어입니다 밝혀 (TA) 에 대한 모든 권한, 및 제어, 대상 호스트. C2에 의해 명령되면, 임플란트는 파일을 업로드하거나 다운로드 할 수 있습니다, 프로세스를 구축, 명령 쉘 통해 호스트와 상호 작용 정해진 수면 / 활동 계획 "에 따라 연결 C2, - 보고서 Cylance 전문가.
이 방법은 사이버 범죄자의 정교한 작업을 보여줍니다. 임플란트의 저자와 같은 잘 알려진 라이브러리를 사용하여 마스크 OpenSSL을 그리고 널리 사용 POCO C ++ 컴파일러, 그 결과, 그 중 99% 보다 더 3 코드의 메가 바이트는 합법적으로 분류됩니다. 이런 식으로, 공격자는 보안 시스템을 진화 주위를 얻으려고, 전문가들은 제안.
"파일 때문에 DLL로 패키지되어, 의도는 인터넷 액세스 권한이 부여되는 장기 실행중인 프로세스에 주입하는 것 (이러한 NETSVC 서비스 그룹으로) 또는 하나는 로컬 방화벽 권한을 가진. 우리는 "이 DLL이 더 큰 도구를 모듈로 작동하기위한 것입니다 생각하지 않는다, - Cylance 연구원을 체결.
과거에, 사이버 범죄자들은 회피 컴퓨터 보호 시스템의 다양한 방법을 사용, 대부분의 경우 그들은 파일의 일부를 암호화하여 안티 바이러스 탐지를 방지하기 위해 포함. 게다가, 사이버 범죄자들은 계속해서 접근하기 어려운 위치에서 코드를 다운로드 도메인 생성 알고리즘을 사용, 안티 바이러스 검사를 우회.
합법적 인 코드로 마스킹 악성 코드는 기존 사이버 범죄 기술이다. 부정 행위는 툴킷의 핵심 부분입니다, 하지만 악성 코드 기능을 감지하도록 설계 설득력 기계 학습 알고리즘은 훨씬 더 어렵다.
또한 읽기: 의 유서 깊은 나이에도 불구하고 9 연령, 중국 헬기 백도어는 여전히 유효합니다
APT28 적어도부터 운영하고있다 2007 지금 정부와 군 구조와 관련된 기밀 정보 도난 전문. APT28 체계적으로 악성 프로그램을 개발하고 악성 코드의 분석을 복잡 정교한 코딩 방법을 사용.
