Отравление VirusTotal
Оригинал: VirusTotal Poisoning
Исследовательская группа McAfee Advanced Threat Research заметила необычный рост числа сообщений об определенном семействе программ-вымогателей. Расследование показало, что за короткий промежуток времени через популярную платформу обмена образцами вредоносного ПО было отправлено множество образцов этого семейства. Дальнейший анализ показал, что по строковому сходству все образцы были эквивалентны, а по сходству кода совпадали на 98-74%. Примечательно, что время компиляции у всех образцов было одинаковым. После дополнительного анализа исследователи обнаружили, что кто-то использовал metame, метаморфный инструмент для манипуляции кодом, чтобы преобразовать исходный файл в мутантные варианты. Эти варианты не всегда были исполняемыми, но все равно классифицировались как то же семейство программ-вымогателей.
Процедура
- AML.TA0003 Подготовка ресурсов
AML.T0016.000 Готовые реализации состязательных атак на ИИ
Злоумышленник получил metame, простой движок метаморфного кода для произвольных исполняемых файлов. - AML.TA0001 Подготовка атаки на ИИ
AML.T0043 Создание состязательных данных
Злоумышленник использовал образец вредоносного ПО из распространенного семейства программ-вымогателей как исходную точку для создания мутированных вариантов. - AML.TA0004 Первичный доступ
AML.T0010.002 Данные
Злоумышленник загрузил мутированные образцы на платформу. - AML.TA0006 Закрепление
AML.T0020 Отравление обучающих данных
Несколько вендоров начали классифицировать файлы как относящиеся к этому семейству программ-вымогателей, хотя большинство из них не запускались.
Мутированные образцы отравили набор данных, который модели машинного обучения используют для выявления и классификации этого семейства программ-вымогателей.