Отравление VirusTotal

Оригинал: VirusTotal Poisoning

Исследовательская группа McAfee Advanced Threat Research заметила необычный рост числа сообщений об определенном семействе программ-вымогателей. Расследование показало, что за короткий промежуток времени через популярную платформу обмена образцами вредоносного ПО было отправлено множество образцов этого семейства. Дальнейший анализ показал, что по строковому сходству все образцы были эквивалентны, а по сходству кода совпадали на 98-74%. Примечательно, что время компиляции у всех образцов было одинаковым. После дополнительного анализа исследователи обнаружили, что кто-то использовал metame, метаморфный инструмент для манипуляции кодом, чтобы преобразовать исходный файл в мутантные варианты. Эти варианты не всегда были исполняемыми, но все равно классифицировались как то же семейство программ-вымогателей.

Процедура

  1. AML.TA0003 Подготовка ресурсов

    AML.T0016.000 Готовые реализации состязательных атак на ИИ

    Злоумышленник получил metame, простой движок метаморфного кода для произвольных исполняемых файлов.
  2. AML.TA0001 Подготовка атаки на ИИ

    AML.T0043 Создание состязательных данных

    Злоумышленник использовал образец вредоносного ПО из распространенного семейства программ-вымогателей как исходную точку для создания мутированных вариантов.
  3. AML.TA0004 Первичный доступ

    AML.T0010.002 Данные

    Злоумышленник загрузил мутированные образцы на платформу.
  4. AML.TA0006 Закрепление

    AML.T0020 Отравление обучающих данных

    Несколько вендоров начали классифицировать файлы как относящиеся к этому семейству программ-вымогателей, хотя большинство из них не запускались.

    Мутированные образцы отравили набор данных, который модели машинного обучения используют для выявления и классификации этого семейства программ-вымогателей.