Команда исследователей угроз SonicWall Capture Labs представила подробный анализ вредоносного ПО GuLoader — сложного дроппера и инфокрадщика, который демонстрирует множество передовых хакерских техник. Этот инструмент активно применяется злоумышленниками для сбора учетных данных, обхода антивирусного обнаружения и обеспечения долговременного присутствия в заражённых системах.
Особенности работы GuLoader
GuLoader отличается комплексным подходом к сохранению и восстановлению своей активности. Среди его ключевых методик — удаление определённых файлов, выполняющих функции таймеров и «канареек», сигнализирующих о возможной детекции вредоносной программы.
Основным объектом анализа стал установочный пакет NSIS, который сопровождается цифровым сертификатом с истёкшим сроком действия, выписанным на имя «Slot», а также содержит вымышленный адрес электронной почты. В составе пакета обнаружен важный DLL-файл «System.dll», играющий роль разведчика для GuLoader во время выполнения.
Механизмы обфускации и загрузки
При запуске установка GuLoader выполняет удаление нескольких файлов по заранее определённым путям. Для усиления методов обфускации вредоносная программа использует динамические вызовы API и специальные техники загрузки библиотек.
- Загружаемые библиотеки включают propsys.dll, uxtheme.dll и clbcatq.dll.
- Для этого применяется модифицированный путь поиска с использованием функции, известной как sub_406877.
Главный исполняемый файл, на который приходится основное внимание, идентифицирован как «Harmin.For». Однако GuLoader получает доступ только к нулевым байтам этого файла, что свидетельствует о возможных изменениях поведения при загрузке дополнительного полезного ПО. Несмотря на это, текущий анализ не выявил значимых модификаций.
Скрытые возможности и адаптивность
Значительная часть функций GuLoader скрыта благодаря использованию временных файлов — вредоносное ПО читает байты из таких файлов и затем сразу же удаляет их содержимое. Эта стратегия позволяет выполнять разнообразные задачи, зависящие от данных, поступающих от дополнительных полезных нагрузок.
Исследователи подчеркивают, что GuLoader представляет собой универсальную и адаптивную угрозу, способную не только сохранять свою позицию в инфицированной системе, но и динамически развивать тактику в ответ на условия окружения.
Выводы
GuLoader подтверждает тенденцию к усложнению вредоносных программ: многоуровневая защита, обфускация, использование временных файлов и динамичная загрузка библиотек делают его серьёзным вызовом для современных систем кибербезопасности. Для эффективного обнаружения и нейтрализации подобных угроз необходим комплексный подход, включающий постоянный мониторинг и анализ поведения вредоносного ПО.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Глубокий анализ GuLoader: современные методы обхода защиты".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.