欧洲警方打掉一恶意软件免杀测试和代码加密平台

对于恶意软件来说，杀毒软件是其在攻击目标系统中成功落地并执行的第一大阻碍。因此一些恶意软件制作者为了绕过杀毒软件的查杀，会首先将恶意软件在运行着杀毒软件的系统中运行，用于测试是否免杀。

像Virustotal这样的恶意软件信息共享平台，就集成了各个杀毒软件厂商的引擎，用来让世界各地的用户上传可疑文件，从而通过杀毒引擎的报毒名来判断文件是恶意的可能性。

但这也就导致了，一些恶意软件制作者，通过上传其制作的恶意软件，从而测试软件是否免杀。

然而，安全分析人员通过监控Virustotal上传的可疑样本，可以发现这些制作者上传的软件，从而及时下发行为规则或特征进行查杀。

因此，罗马尼亚的一个网络犯罪组织灵机一动，制作了Virustotal同款恶意软件测试查杀平台 cyberscan.org（已经无法访问）。

同时，为了盈利，他们提醒上传到他们测试免杀平台的恶意软件会被查杀，并提供了可以避免被查杀的武器：加密器（loader+签名等），别名CyberSeal和Dataprotector，通过该加密服务以逃避防病毒软件检测。该服务自2010年以来一直在地下犯罪市场上出售。（cyberscan.org）

从历史记录可以看到一些推销记录。

在推销自己的加密器前，先晒出自己的免杀图

然后开始推销自己的文件，可见加密一个文件25美元，走包周包月就划算一点。此外还有售后服务，实时支持。

如下图所示，加密器（loader）可以将软件（通常是恶意软件）中的底层代码加密或隐藏起来，伪装成无害的东西，直到将其安装到受害者的计算机上为止。

这些服务已被1560多名网络罪犯购买，并用于加密几种不同类型的恶意软件，包括远程访问木马，信息窃取程序和勒索软件。

目前，该组织管理层有两人被捕，该抓捕行动由

罗马尼亚警察（PolițiaRomână）

美国联邦调查局（FBI）

澳大利亚联邦警察（AFP）

挪威国家刑事调查局（Kripos）

参与，其中欧洲刑警组织领导该行动。

而这次打击行动，是在欧洲打击犯罪威胁多学科平台（EMPACT）的框架内进行。该平台按照优先顺序进行挨个犯罪打击。

https://ec.europa.eu/home-affairs/what-we-do/policies/police-cooperation/operational-cooperation/empact_en

参考链接：

https://www.europol.europa.eu/newsroom/news/romanian-duo-arrested-for-running-malware-encryption-service-to-bypass-antivirus-software

附录：罗马尼亚，位于东南欧巴尔干半岛东北部。

声明：本文来自黑鸟，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。