安徒2016-06-06 18:13人评论0人阅读3323
隐藏在 络恶意软件背后的恶意软件程序员们现在使用了一种名为“恶意软件工厂(malware factory)”的新技术来进行恶意软件的更新。通过这种技术,他们可以在15秒内生成可绕过安全软件客户端的新版本。
Cerber是当今勒索威胁界最活跃的勒索软件之一,其背后的团队投入了大量的时间与资源在业务的发展与技术的支持上。
自今年的第一次被侦测到,该病毒就一直在进行持续不断地更新,并且直至现在也没有任何人能够提供出一个免费的解密软件。
Cerber荣登多元恶意软件家族排行榜
美国安全公司Invincea近日提交了有关Cerber运营模式最新变化的 告。Invincea称,他们分析了Cerber最新感染技术的日志文件,试图重现传染链,但他们的分析师得到了不同的文件hash。
当他们再次尝试复现时,研究人员得到了第三组hash,继续研究,又得到了第四组,第五组甚至更多的数据。研究人员很快就搞清楚了,Cerber的C&C服务器设定了每15秒就给Cerber二进制文件提供不同的文件hash。
这是“malware factory”的一个显著特征,通过自动的恶意软件装配线将Cerber进行组装,但是却对文件进行了微调并生成了独特的hash文件。
该特性允许Cerber感染运行着反病毒软件的计算机。哪怕反病毒软件曾经记录过Cerber勒索软件的特征,反病毒软件大多是通过一个hash签名列表的内部病毒库来进行探测的,由于Cerber能够每15秒得到一个新的并且是唯一的hash,便可以绕过基本的扫描技术。
Cerber最早被发现于2015年9月
在2015年9月的一个深入研究中,研究人员在研究Neutrino exploit kit时发现了一个可疑文件的样本,从而发现了Cerber。
这有可能是最早被发现的Cerber勒索软件样本。
早先Invincea曾声称,他们已经发现了有能力发起DDoS攻击的Cerber样本。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!