暗网论坛正逐渐演变为复杂恶意软件工具的集散地,攻击者持续提升技术能力以规避各类安全解决方案。最新出现的AI驱动加密器服务号称具备前所未有的规避能力,使企业安全环境面临显著风险。
新型AI加密器服务现身暗网
化名ImpactSolutions的攻击者近期在地下论坛推广一款名为InternalWhisper x ImpactSolutions的高级变形加密器。这款工具标志着恶意软件开发的重要转向——它利用人工智能在编译过程中动态转换恶意代码,从根本上颠覆了传统威胁检测机制,确保每次生成的二进制文件都具有唯一性。
该加密器的核心优势在于其AI驱动的变形引擎,能在每个构建周期重写大部分恶意代码,生成无特征二进制文件,从而规避杀毒软件依赖的静态标记检测。威胁分子宣称,此工具可绕过Windows Defender等主流终端安全平台,实现地下社区常说的“完全不可检测”(Fully Undetectable, FUD)状态。
自动化服务降低攻击门槛
ThreatMon分析师指出,该恶意软件服务因其易用性和操作灵活性而格外危险。其基于网页的自动化操作面板无需深厚专业技术知识,用户可在数秒内生成受保护的二进制文件。这种高级规避技术的“平民化”究竟意味着什么?它大幅扩展了潜在用户群体,使其不再局限于技术娴熟的威胁组织。
多重感染机制与规避技术
该服务的感染机制设计精密,支持多种载荷类型,包括原生C/C++二进制文件和.NET应用程序,兼容x86/x64 Windows架构。加载选项尤其注重隐蔽性:
- 采用绕过传统API监控的直接系统调用
- 通过进程镂空技术将代码注入合法进程
- 滥用微软签名可执行文件实施签名二进制旁加载
这些规避手段与多项高级安全功能协同工作:
- 采用AES-256载荷加密和运行时字符串加密来隐藏恶意功能
- 反分析技术可检测虚拟环境和沙箱
- 可选持久化机制确保恶意软件在系统重启后继续存活
- 元数据伪造、图标定制和证书克隆使恶意软件伪装成合法软件
商业化运营加剧威胁
该服务的商业化运作模式尤其令人担忧。攻击者提供分级定价方案,将工具包装为面向长期客户的“合法服务”。这种商业模式暗示着持续的产品开发和改进,为防御者带来了长期的威胁挑战。
参考来源:
Threat Actors Advertising AI-Enhanced Metamorphic Crypter with Claims of Windows Defender Bypass
https://cybersecuritynews.com/threat-actors-advertising-ai-enhanced-metamorphic-crypter/
更多前沿安全技术动态与深度分析,欢迎访问云栈社区进行交流与探索。 | 
发表于 4 天前
|
查看: 11|
回复: 0
