С каждым днем появляется все больше новых киберугроз, которые характеризуются возрастающей сложностью. Тем не менее, злоумышленники продолжают активно использовать популярные наборы эксплоитов, такие как Angler и Nuclear. Согласно некоторым данным, хакерские группировки, использующие Angler, ежегодно зарабатывают с его помощью приблизительно $60 млн., пишет специалист компании CipherTechs Майкл Фрателло (Michael Fratello) в статье на портале SecurityAffairs.
В настоящее время Angler является лидером на рынке наборов эксплоитов, следом за ним идет эксплоит-кит Nuclear, который продолжает эволюционировать. В частности, в него добавлены новые, более сложные и эффективные механизмы доставки полезной нагрузки, которые не были замечены экспертами. Одно из усовершенствований заключается в том, что механизм стал более динамичным и агрессивным.
Методы обнаружения вредоносного ПО, используемые сигнатурными антивирусами, основаны на цифровых отпечатках (хешах). Известные файлы, независимо от того, являются они легитимными или нет, могут быть опознаны по сигнатуре. Проблема заключается в том, что модификация нагрузки, добавление или удаление нескольких байтов приводит к полному изменению хеша файла, и, соответственно, к получению возможности обхода антивирусных решений.
Анализ недавней активности Nuclear показал, что в то время как размер нагрузки файла не изменяется, фактический двоичный состав (функции, переменные) создается “на лету”. Таким образом, каждой уникальной жертве доставляется нагрузка с совершенно другим хешем.
Для ухода от обнаружения новые версии Nuclear используют довольно эффективные методы. Даже в тех случаях, когда попытка заражения целевой системы оказывается неудачной, эксплоит-кит применяет техники, которые не позволяют специалистам воссоздать и проанализировать цепь инфицирования, используемую Nuclear. Помимо прочего, разработчики набора эксплоитов реализовали возможность регистрации IP-адреса. Это значит, что Nuclear способен доставлять индивидуальную нагрузку на каждый отдельный IP-адрес, эффективно избегая детектирования антивирусным ПО. (Новости/NovostIT)