文章总结： 暗网出现名为InternalWhisper的AI增强型变形加密器，通过AI动态重写代码生成无特征二进制文件，号称可完全绕过WindowsDefender。该服务提供Web界面，支持多种载荷及直接系统调用、进程镂空等高级规避技术，并具备AES-256加密与反沙箱功能。其商业化运营降低了攻击门槛，对企业安全构成严峻挑战。 综合评分： 78 文章分类： 恶意软件,免杀,威胁情报

暗网兜售可绕过Windows Defender的AI增强型变形加密器

FreeBuf

2026年1月2日 18:04 江苏

暗网论坛已成为复杂恶意软件工具的集散地，攻击者不断改进其技术能力以规避安全解决方案。最新出现的AI驱动加密器服务号称具有前所未有的规避能力，使企业环境面临重大风险。

Part01

新型AI加密器服务现身暗网

化名ImpactSolutions的攻击者在地下论坛推广一款名为InternalWhisper x ImpactSolutions的高级变形加密器。该工具标志着恶意软件开发的重要转变——通过人工智能在编译过程中动态转换恶意代码，从根本上改变了传统威胁检测机制，使每次生成的二进制文件都具有唯一性。

该加密器的核心优势在于其AI驱动的变形引擎，能在每次构建周期重写大部分恶意代码，生成无特征二进制文件，规避杀毒软件依赖的静态标记检测。威胁分子宣称该工具可绕过Windows Defender等主流终端安全平台，实现地下社区所称的”完全不可检测”（Fully Undetectable，FUD）状态。

Part02

自动化服务降低攻击门槛

ThreatMon分析师指出，该恶意软件服务因其易用性和操作灵活性尤为危险。其基于网页的自动化操作面板无需专业技术知识，可在数秒内生成受保护的二进制文件。这种高级规避技术的”平民化”大幅扩展了潜在用户群体，不再局限于技术娴熟的威胁组织。

Part03

多重感染机制与规避技术

该服务的感染机制设计精密，支持多种载荷类型，包括原生C/C++二进制文件和.NET应用程序，兼容x86/x64 Windows架构。加载选项注重隐蔽性：

• 采用绕过传统API监控的直接系统调用
• 通过进程镂空技术将代码注入合法进程
• 滥用微软签名可执行文件实施签名二进制旁加载

这些规避手段与高级安全功能协同工作：

• 采用AES-256载荷加密和运行时字符串加密隐藏恶意功能
• 反分析技术可检测虚拟环境和沙箱
• 可选持久化机制确保恶意软件在系统重启后存活
• 元数据伪造、图标定制和证书克隆使恶意软件伪装成合法软件

Part04

商业化运营加剧威胁

该服务的商业化运作模式尤其令人担忧。攻击者提供分级定价方案，将工具定位为面向长期客户的”合法服务”。这种商业模式意味着持续开发和改进，为防御者带来长期威胁挑战。

参考来源：

Threat Actors Advertising AI-Enhanced Metamorphic Crypter with Claims of Windows Defender Bypass

Threat Actors Advertising AI-Enhanced Metamorphic Crypter with Claims of Windows Defender Bypass

#

#

#

推荐阅读

#

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《暗网兜售可绕过Windows Defender的AI增强型变形加密器》