Исследователи в области кибербезопасности раскрыли широкий спектр методов, используемых продвинутым загрузчиком вредоносного ПО под названием «GuLoader» для обхода систем безопасности.
«Новая техника анти-анализа шеллкода пытается помешать исследователям и враждебным средам, сканируя всю память процесса на наличие любых строк, связанных с виртуальной машиной (VM)» - заявили исследователи CrowdStrike Саранг Сонаване и Донато Онофри в техническом отчете, опубликованном на прошлой неделе.
GuLoader, также называемый CloudEyE, представляет собой загрузчик на Visual Basic Script (VBS), который используется для распространения троянов удаленного доступа на зараженных машинах. Впервые он был обнаружен в 2019 году.
В ноябре 2021 года появился штамм вредоносного ПО на JavaScript под названием RATDispenser, который распространял GuLoader с помощью VBScript-дроппера в Base64-кодировке.
Недавний образец GuLoader, обнаруженный CrowdStrike, демонстрирует трехэтапный процесс, в котором VBScript предназначен для следующего этапа, выполняющего антианалитические проверки перед внедрением в память шеллкода, встроенного в VBScript.
Шеллкод, помимо использования тех же методов антианализа, загружает конечную полезную нагрузку по выбору злоумышленника с удаленного сервера и выполняет ее на скомпрометированном узле.
«На каждом этапе выполнения шеллкод использует несколько приемов против анализа и отладки, выдавая сообщение об ошибке, если шеллкод обнаруживает какие-либо известные механизмы анализа или отладки» - отметили исследователи.
Сюда входят антиотладочные и антидизассемблирующие проверки, позволяющие обнаружить наличие удаленного отладчика и точек останова, и в случае их обнаружения завершить работу шеллкода. В шеллкоде также имеется функция сканирования программного обеспечения для виртуализации.
Дополнительной возможностью является то, что компания по кибербезопасности называет «механизмом избыточной инъекции кода», позволяющим избежать хуков NTDLL.dll, применяемых решениями по обнаружению и реагированию на конечные точки (EDR).
NTDLL.dll API hooking - это метод, используемый антивирусными программами для обнаружения и отметки подозрительных процессов в Windows путем мониторинга API, которыми, как известно, злоупотребляют атакующие.
В двух словах, метод включает использование инструкций ассемблера для вызова необходимой функции API windows для выделения памяти (т.е. NtAllocateVirtualMemory) и внедрения произвольного шеллкода в память.
Выводы CrowdStrike были получены после того, как компания Cymulate, специализирующаяся на кибербезопасности, продемонстрировала технику обхода EDR, известную как Blindside, которая позволяет запускать произвольный код с помощью аппаратных точек останова для создания «процесса с одной только NTDLL в автономном, незакрепленном состоянии».
«GuLoader остается опасной угрозой, которая постоянно развивается, предлагая новые методы обхода обнаружения» - заключили исследователи.
Источник: https://is-systems.org
