Код как расходник. Зачем хакерам миллион одинаковых загрузчиков в разных обёртках
NewsMakerНовая техника «промптморфизм» превращает работу антивирусов в бессмысленную погоню за призраками.
Злоумышленники всё чаще используют большие языковые модели для быстрого переписывания вредоносного кода. Подход получил название «промптморфизм» (Promptmorphism) и позволяет практически бесконечно создавать новые варианты загрузчиков начального этапа. Подобная тактика затрудняет обнаружение вредоносных кампаний, поскольку системы защиты традиционно ищут повторяющиеся сигнатуры и сходство между файлами.
Механика атаки остаётся прежней. Первый компонент цепочки запускается на устройстве, выполняет несколько проверок и загружает основной вредоносный модуль. Однако теперь такой загрузчик рассматривается как расходный инструмент. Большая языковая модель по заданию автора вредоносной кампании генерирует новые версии одного и того же кода. Каждая версия немного отличается структурой, именами функций, порядком вызовов API и логикой выполнения, хотя конечная задача остаётся прежней.
Аналитики Threat Research Team из Gen Digital описывают наблюдения за экосистемой «загрузчик как услуга», где один и тот же слой доставки регулярно меняется и используется разными хакерскими объединениями. Через такой загрузчик распространялись, например, вредоносные программы Wincir и Stealc. Анализ показал, что логика первой стадии остаётся одинаковой, но упаковка меняется буквально каждые несколько дней.
В разных вариантах полезная нагрузка размещалась внутри исполняемого файла в зашифрованном виде, затем появлялась версия с шестнадцатеричным кодированием, позже полезную нагрузку делили на несколько частей, которые собирались уже во время запуска. В другой итерации данные перемещались в дополнительную область PE-файла или прямо в исполняемый код x64. В одном из образцов авторы даже сменили криптографический алгоритм и использовали ChaCha вместо AES.
Злоумышленники всё чаще используют большие языковые модели для быстрого переписывания вредоносного кода. Подход получил название «промптморфизм» (Promptmorphism) и позволяет практически бесконечно создавать новые варианты загрузчиков начального этапа. Подобная тактика затрудняет обнаружение вредоносных кампаний, поскольку системы защиты традиционно ищут повторяющиеся сигнатуры и сходство между файлами.
Механика атаки остаётся прежней. Первый компонент цепочки запускается на устройстве, выполняет несколько проверок и загружает основной вредоносный модуль. Однако теперь такой загрузчик рассматривается как расходный инструмент. Большая языковая модель по заданию автора вредоносной кампании генерирует новые версии одного и того же кода. Каждая версия немного отличается структурой, именами функций, порядком вызовов API и логикой выполнения, хотя конечная задача остаётся прежней.
Аналитики Threat Research Team из Gen Digital описывают наблюдения за экосистемой «загрузчик как услуга», где один и тот же слой доставки регулярно меняется и используется разными хакерскими объединениями. Через такой загрузчик распространялись, например, вредоносные программы Wincir и Stealc. Анализ показал, что логика первой стадии остаётся одинаковой, но упаковка меняется буквально каждые несколько дней.
В разных вариантах полезная нагрузка размещалась внутри исполняемого файла в зашифрованном виде, затем появлялась версия с шестнадцатеричным кодированием, позже полезную нагрузку делили на несколько частей, которые собирались уже во время запуска. В другой итерации данные перемещались в дополнительную область PE-файла или прямо в исполняемый код x64. В одном из образцов авторы даже сменили криптографический алгоритм и использовали ChaCha вместо AES.