Nuclear способен доставлять индивидуальную нагрузку на каждый отдельный IP-адрес. С каждым днем появляется все больше новых киберугроз, которые характеризуются возрастающей сложностью. Тем не менее, злоумышленники продолжают активно использовать популярные наборы эксплоитов, такие как Angler и Nuclear. Согласно некоторым данным, хакерские группировки, использующие Angler, ежегодно зарабатывают с его помощью приблизительно $60 млн , пишет специалист компании CipherTechs Майкл Фрателло (Michael Fratello) в статье на портале SecurityAffairs.
В настоящее время Angler является лидером на рынке наборов эксплоитов, следом за ним идет эксплоит-кит Nuclear, который продолжает эволюционировать. В частности, в него добавлены новые, более сложные и эффективные механизмы доставки полезной нагрузки, которые не были замечены экспертами. Одно из усовершенствований заключается в том, что механизм стал более динамичным и агрессивным.
Методы обнаружения вредоносного ПО, используемые сигнатурными антивирусами, основаны на цифровых отпечатках (хешах). Известные файлы, независимо от того, являются они легитимными или нет, могут быть опознаны по сигнатуре. Проблема заключается в том, что модификация нагрузки, добавление или удаление нескольких байтов приводит к полному изменению хеша файла, и, соответственно, к получению возможности обхода антивирусных решений.
Анализ недавней активности Nuclear показал, что в то время как размер нагрузки файла не изменяется, фактический двоичный состав (функции, переменные) создается «на лету». Таким образом, каждой уникальной жертве доставляется нагрузка с совершенно другим хешем.
Для ухода от обнаружения новые версии Nuclear используют довольно эффективные методы. Даже в тех случаях, когда попытка заражения целевой системы оказывается неудачной, эксплоит-кит применяет техники, которые не позволяют специалистам воссоздать и проанализировать цепь инфицирования, используемую Nuclear.
Помимо прочего, разработчики набора эксплоитов реализовали возможность регистрации IP-адреса. Это значит, что Nuclear способен доставлять индивидуальную нагрузку на каждый отдельный IP-адрес, эффективно избегая детектирования антивирусным ПО.
источникКомпьютерная помощь рекомендует своевременно обновлять как саму операционную систему, так и компоненты в составе, используемые в ежедневной работе. Прежде всего речь может идти об офисных компонентах, ПО работы с документами, java платформы, браузера и медиа-дополнений. Проверить необходимость обновления браузера и компонентов возможно по информационному баннеру справа "Ваша безопасность", отображающего статус уже проведенной проверки на уязвимые версии как браузера, так и загруженных в нем дополнений, эксплуатируя которые, при обычном посещении сторонних сайтов в сети Интернет, различные наборы эксплоитов могут пытаться доставлять вредоносное ПО прямиком в операционную систему Вашего компьютера.
А так же рекомендуем обратить внимание на нашу штатную услугу - установить надежный антивирус, когда необходимо, чтобы, кроме сигнатурного анализа, у антивирусного решения была достаточно мощная система облачного сканирования, репутационное доверие к файлам и применяемыми ограничениями к неизвестным исполняемым файлам и приложениям. В таком случае надежный антивирус сможет предотвратить заражение и шифрацию данных даже от новейших и пока ещё не обнаруживаемых сигнатурно вредоносов.
Добавить комментарий