Los investigadores de seguridad cibernética han expuesto una amplia variedad de técnicas adoptadas por un descargador de malware avanzado llamado GuLoader para evadir el software de seguridad.
«La nueva técnica de antianálisis de shellcode intenta frustrar a los investigadores y los entornos hostiles al escanear la memoria del proceso completo en busca de cadenas relacionadas con la máquina virtual (VM)», los investigadores de CrowdStrike, Sarang Sonawane y Donato Onofri. dijo en un artículo técnico publicado la semana pasada.
GuLoader, también llamado CloudEyE, es un descargador de Visual Basic Script (VBS) que se usa para distribuir troyanos de acceso remoto en máquinas infectadas. Se detectó por primera vez en la naturaleza en 2019.
En noviembre de 2021, una cepa de malware de JavaScript denominada RATDispenser surgió como un conducto para colocar GuLoader a través de un cuentagotas VBScript codificado en Base64.
Una muestra reciente de GuLoader desenterrada por CrowdStrike muestra un proceso de tres etapas en el que el VBScript está diseñado para ofrecer una etapa siguiente que realiza comprobaciones antianálisis antes de inyectar el código de shell incrustado en el VBScript en la memoria.
El shellcode, además de incorporar los mismos métodos de antianálisis, descarga un payload final elegido por el atacante desde un servidor remoto y lo ejecuta en el host comprometido.
«El shellcode emplea varios trucos contra el análisis y la depuración en cada paso de la ejecución, arrojando un mensaje de error si el shellcode detecta algún análisis conocido de los mecanismos de depuración», señalaron los investigadores.
Esto incluye comprobaciones anti-depuración y anti-desmontaje para detectar la presencia de un depurador remoto y puntos de interrupción y, si se encuentran, terminar el código de shell. El shellcode también presenta escaneos para software de virtualización.
Una capacidad adicional es lo que la compañía de ciberseguridad llama un «mecanismo de inyección de código redundante» para evitar NTDLL.dll ganchos implementados por soluciones de detección y respuesta de punto final (EDR).
API de NTDLL.dll enganche es un técnica usado por motores antimalware para detectar y marcar procesos sospechosos en Windows al monitorear las API que se sabe que son abusadas por los actores de amenazas.
En pocas palabras, el método implica el uso de instrucciones de ensamblaje para invocar la función API de Windows necesaria para asignar memoria (es decir, NtAsignarMemoriaVirtual) e inyectar Shellcode arbitrario en la memoria a través de proceso de vaciado.
Los hallazgos de CrowdStrike también se producen cuando la empresa de seguridad cibernética Cymulate demostró una técnica de derivación de EDR conocida como Lado siego que permite ejecutar código arbitrario mediante el uso de puntos de interrupción de hardware para crear un «proceso con solo el NTDLL en un estado independiente y desenganchado».
«GuLoader sigue siendo una amenaza peligrosa que evoluciona constantemente con nuevos métodos para evadir la detección», concluyeron los investigadores.