Через такие постоянно меняющиеся загрузчики уже распространялись Wincir и Stealc в рамках схемы «загрузчик как услуга» — один слой доставки арендуют сразу несколько хакерских группировок.
Эксперты советуют следить не за внешним видом кода, а за поведением кампании в целом — сетевой инфраструктурой и механиками доставки второго этапа.
https://www.securitylab.ru/news/570443.php
Детект по сигнатуре кода является самым простым и самым малоэффективным способом обнаружения малвари. Никогда на это надежды не было
Ожидания - ИИ замещает зажравшихся ойтимразей.
Реальность - ИИ в режиме онлайн генерит баннеры с елдаками, чтобы их не вырезал ни один адблок.
А на что была надежда?
По вызовам через апи операционки
>Эксперты советуют следить не за внешним видом кода
Как насчет того чтобы перестать пользоваться дырявым говном, для которого эта хуета вся пишется?
Что Зеленский уничтожит всех хохлов.
Я жду ИИ кладменов, сеймы есть? Или хотя бы доставку дронами до твоего окна.
полиморфам сто лет в обед, школоло
Ожидания - ИИ заражает 100% компьютеров и телефонов вирусами, спасения нет
Реальность - достаточно не скачивать неизвестные файлы, антивирусы как не помогали, так и не помогают
хуета хует и хуетой погоняет
Ну да, ты ведь не можешь рандомно изменять файл с вирусом чтобы хэш сумма стала нужной.
@monkey
>>19295218
ну а промптморфизм как раз и есть не рандом, а умная перезапись через ллм — код работает так же, но выглядит по-новому, хэш сам меняется без костылей. антивирусы на сигнатуры сдохнут, если не перейдут на бихейвиорку и песочницы. вон wincir уже так гуляет, loader'ы мутируют быстрее, чем их ловят.
ну а промптморфизм как раз и есть не рандом, а умная перезапись через ллм — код работает так же, но выглядит по-новому, хэш сам меняется без костылей. антивирусы на сигнатуры сдохнут, если не перейдут на бихейвиорку и песочницы. вон wincir уже так гуляет, loader'ы мутируют быстрее, чем их ловят.
@monkey бля, простым языком напиши можно или нет
>>19295225
можно, бля, хакеры уже впаривают такие лоадеры как сервис, wincir и stealc мутируют через ллм каждые минуты. сигнатуры антивирусов в пролёте, только бихейвор и песочницы спасают пока. но и те под вопросом, если ллм научится хитрее маскировать поведение.
можно, бля, хакеры уже впаривают такие лоадеры как сервис, wincir и stealc мутируют через ллм каждые минуты. сигнатуры антивирусов в пролёте, только бихейвор и песочницы спасают пока. но и те под вопросом, если ллм научится хитрее маскировать поведение.
Сорян братишка обезьянка, ты даже не поняла о чём речь.
(о том что файл с вирусом можно наполнить мусорными битами для получения любой нужной хэшсуммы у этого файла)
>>только бихейвор
@monkey сколько лет на это потребуется?
>>19295229
на подгонку под конкретный хэш типа sha256 с рандомными битами в хвосте - 2^256 операций, это типа 10^77 лет, вся вселенная сгорит к хуям задолго. для md5 коллизии за минуты на gpu, но ав сейчас ша не жрут. короче ньюфаг, это не про "любой нужный", а про смену хэша чтоб не совпадал с базой, и то ии не нужен.
на подгонку под конкретный хэш типа sha256 с рандомными битами в хвосте - 2^256 операций, это типа 10^77 лет, вся вселенная сгорит к хуям задолго. для md5 коллизии за минуты на gpu, но ав сейчас ша не жрут. короче ньюфаг, это не про "любой нужный", а про смену хэша чтоб не совпадал с базой, и то ии не нужен.
@monkey деб, какое совпадение с базой? У нас ОС будет запускать только проги с известным хэшем.
>>19295242
бля, анон прав, промптморфизм именно про то, чтоб генерить новые варианты кода с другим хэшем без потери функционала, сигнатуры и белые списки по хэшам не прокатят, потому что каждый релиз софта уже новый хэш, а для экзешников с дин.линковкой тем более.
>>user
твоя ос звучит как мокрый сон параноика, на деле даже windows с hyper-v guarded ничего не блокирует радикально, юзеры взвоют если нельзя будет запустить левый .exe или мод для игры. плюс атакеры юзают легит софт для дропа пейлоада, хэш не поможет. следи за поведением, как в опе сказали.
бля, анон прав, промптморфизм именно про то, чтоб генерить новые варианты кода с другим хэшем без потери функционала, сигнатуры и белые списки по хэшам не прокатят, потому что каждый релиз софта уже новый хэш, а для экзешников с дин.линковкой тем более.
>>user
твоя ос звучит как мокрый сон параноика, на деле даже windows с hyper-v guarded ничего не блокирует радикально, юзеры взвоют если нельзя будет запустить левый .exe или мод для игры. плюс атакеры юзают легит софт для дропа пейлоада, хэш не поможет. следи за поведением, как в опе сказали.