Инструмент АНБ позволяет детектировать другие киберпреступные группы

Инструмент АНБ позволяет детектировать другие киберпреступные группы

Инструмент АНБ позволяет детектировать другие киберпреступные группы

В опубликованных в прошлом году инструментах для взлома, принадлежащих АНБ США, была обнаружена интересная утилита, способная детектировать вредоносные программы, написанные другими кибершпионскими группами. Утилита получила имя «Territorial Dispute» («Территориальный спор»), ее задача заключалась в оповещении операторов АНБ о присутствии на взломанном компьютере программ других киберпреступных групп.

Такой инструмент позволял агентам АНБ вовремя принять решение об отступлении, так как заражение уже ранее взломанной машины могло поставить под угрозу раскрытие инструментов разведслужбы. Например, такое могло произойти, если другие киберпреступники, работающие на государство, уже установили свои инструменты в целевой системе.

Несмотря на то, что группа Shadow Brokers уже давно слила в Сеть инструменты АНБ, назначение утилиты Territorial Dispute оставалось неизвестным до недавнего времени, когда группа экспертов из Венгрии описала этот инструмент в отчете, представленном на конференции по безопасности Kaspersky SAS.

Главная причина, по которой эксперты так долго выясняли природу Territorial Dispute, связана с тем, что она была в той же партии утекших инструментов, в которой Shadow Brokers опубликовали эксплойт EternalBlue, который использовался в атаках WannaCry. Более того, в той партии были такие серьезные инструменты, как EternalRomance, EternalSynergy, FuzzBunch. Именно это стало причиной того, что исследователи не сразу обратили внимание на Territorial Dispute.

Сама Territorial Dispute не представляет серьезной угрозы, однако раскрывает некоторую информацию о методах АНБ. Из-за своего центрального положения на мировой политической арене США всегда ставили акцент на скрытность в попытках не нарушить дипломатические отношения со странами, которые были целью для взлома.

Если рассмотреть алгоритм работы Territorial Dispute, можно отметить схожие с работой антивируса черты. Сразу после заражения определенной машины оператор АНБ может использовать этот инструмент для сканирования хоста, что походит на сканирование антивирусной программой. Territorial Dispute будет искать в зараженной системе имена файлов и разделы реестров, характерные для вредоносных программ, использующихся другими правительственными хакерами.

Если утилита обнаруживает присутствие такой вредоносной программы, она отправляет оператору предупреждения, в которых содержатся рекомендации, например: «please pull back», «seek help immediately», «seek help ASAP», «friendly tool» и «dangerous malware».

Эксперты полагают, что этот инструмент используется АНБ не только для поиска инструментов оппонентов, но также и для поиска программ, принадлежащих дружественным группам.

Внутренний список файлов и ключей реестра, реализованный в Territorial Dispute, также организован в 45 различных категориях, от SIG1 до SIG45. Исследователи считают, что каждая категория - это внутреннее имя, которое NSA использует для других кибершпионских групп.

Таким образом, как выяснили специалисты, Territorial Dispute может детектировать программы таких киберпреступных групп, как Turla, Fancy Bear, Duqu, Stuxnet, Flame, Dark Hotel. Кроме этого, эксперты отметили неизвестные кодовые имена, что может говорить о том, что у АНБ есть информация о киберугрозах, о которых еще неизвестно в широких кругах.

DROIDBREAKER обходит ML-детекторы Android-вредоносов без поломки APK

Машинное обучение в антивирусах снова получило неприятный привет. Исследователи представили DROIDBREAKER — фреймворк для создания модифицированных Android-приложений, которые могут обходить ML-детекторы вредоносных приложений и при этом сохранять работоспособность.

Авторы работы отмечают, что многие прежние атаки на Android-детекторы выглядели красиво в статьях, но плохо жили в реальности.

Одни методы добавляли в APK целые доброкачественные модули, из-за чего приложение обрастало лишними признаками и часто ломалось еще на этапе сборки. Другие меняли байт-код слишком грубо: формально APK получался валидным, но нормально работать уже не мог.

Отдельная претензия исследователей была к проверке успешности таких атак. По их словам, в прошлых работах часто ограничивались тестами: приложение установилось, запустилось — значит, всё хорошо. Но это не доказывает, что после модификаций оно сохранило исходную функциональность.

 

DROIDBREAKER пытается решить именно эту проблему. Фреймворк меняет только те компоненты APK, которые сильнее всего влияют на решение целевой ML-модели. Для этого используются более точечные и безопасные манипуляции: изменение API-вызовов, модулей приложения, разрешений, URL и элементов обфускации.

Главная фишка — проверка сохранения поведения. DROIDBREAKER сравнивает журналы выполнения и API-трейсы исходного и измененного приложения, чтобы убедиться: APK не просто собрался и запустился, а действительно продолжает делать то, что должен.

В экспериментах на свежем наборе Android-приложений фреймворк показал высокую эффективность обхода как в сценариях white-box, так и в black-box. При этом ему требовалось относительно мало запросов к модели, а побочных изменений в приложении было меньше, чем у прежних подходов.

Более того, модифицированные APK заметно реже детектировались коммерческими сканерами, представленными на VirusTotal.

RSS: Новости на портале Anti-Malware.ru