GuLoader és a RedLine Stealer anti-analízis technikáinak kezelése
A rosszindulatú szoftverek, mint sok komplex szoftverrendszer, a szoftverkonfiguráció koncepciójára épülnek. A konfigurációk meghatározzák a rosszindulatú szoftverek viselkedésének irányelveit, és közös jellemzője az Unit 42 által vizsgált különböző rosszindulatú szoftvercsaládoknak. A rosszindulatú szoftverekbe ágyazott konfigurációs adatok felbecsülhetetlen betekintést nyújthatnak a kiberbűnözők szándékaiba. Jelentőségük miatt azonban a rosszindulatú programok szerzői szándékosan úgy alakítják ki a konfigurációs adatokat, hogy azokat nehéz legyen statikusan elemezni a fájlból.
Az elmúlt évek során a Unit 42 kifejlesztett egy rendszert a rosszindulatú programok belső konfigurációinak kinyerésére. A több kártevőcsaládra vonatkozó extrahálóink kódját megosztják a kutatóközösséggel. Ezek a Python nyelven írt extractorok arra szolgálnak, hogy a konfigurációs adatokat átvizsgálják és kivonják az egyes rosszindulatú szoftvermintákhoz kapcsolódó memóriadumpokból.
Két rosszindulatú szoftvercsalád által alkalmazott kiválasztott konfigurációvédelmi technikákat is bemutat a Unit 42: GuLoader és RedLine Stealer.