{"id":544116,"date":"2022-12-26T15:47:31","date_gmt":"2022-12-26T15:47:31","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-malware-guloader-utiliza-nuevas-tecnicas-para-evadir-el-software-de-seguridad\/"},"modified":"2022-12-26T15:47:33","modified_gmt":"2022-12-26T15:47:33","slug":"el-malware-guloader-utiliza-nuevas-tecnicas-para-evadir-el-software-de-seguridad","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-malware-guloader-utiliza-nuevas-tecnicas-para-evadir-el-software-de-seguridad\/","title":{"rendered":"El malware GuLoader utiliza nuevas t\u00e9cnicas para evadir el software de seguridad"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">26 de diciembre de 2022<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Ingenier\u00eda inversa<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Los investigadores de seguridad cibern\u00e9tica han expuesto una amplia variedad de t\u00e9cnicas adoptadas por un descargador de malware avanzado llamado <strong>GuLoader<\/strong> para evadir el software de seguridad.<\/p>\n<p>&#8220;La nueva t\u00e9cnica de antian\u00e1lisis de shellcode intenta frustrar a los investigadores y los entornos hostiles al escanear la memoria del proceso completo en busca de cadenas relacionadas con la m\u00e1quina virtual (VM)&#8221;, los investigadores de CrowdStrike, Sarang Sonawane y Donato Onofri. <a rel=\"nofollow noopener\" href=\"https:\/\/www.crowdstrike.com\/blog\/guloader-dissection-reveals-new-anti-analysis-techniques-and-code-injection-redundancy\/\" target=\"_blank\">dijo<\/a> en un art\u00edculo t\u00e9cnico publicado la semana pasada.<\/p>\n<p>GuLoader, tambi\u00e9n llamado <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.cloudeye\" target=\"_blank\">CloudEyE<\/a>, es un descargador de Visual Basic Script (VBS) que se usa para distribuir troyanos de acceso remoto en m\u00e1quinas infectadas.  Se detect\u00f3 por primera vez en la naturaleza en 2019.<\/p>\n<p>En noviembre de 2021, una cepa de malware de JavaScript denominada RATDispenser surgi\u00f3 como un conducto para colocar GuLoader a trav\u00e9s de un cuentagotas VBScript codificado en Base64.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/uptycs-inside\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La seguridad cibern\u00e9tica\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEiFnQCqFUEdZwz09FePR3hG7AgLONIkxkHQShYlYG9sMAfmFEby7X_H70pQ-9LE4EGZ23DtteXmqkaRJtbEWD3LgdJDEQS_GzBo6ugwqRwVEo_kbRN9E1kruaJrfiBDjY0e2mRjaHuWU1gkUzsLRVbvt0IMXMhc3P1YIy9M0fvNOrWDRwsyC7dkMcnC1A\/s728-e365-rj\/welcome-728.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Una muestra reciente de GuLoader desenterrada por CrowdStrike muestra un proceso de tres etapas en el que el VBScript est\u00e1 dise\u00f1ado para ofrecer una etapa siguiente que realiza comprobaciones antian\u00e1lisis antes de inyectar el c\u00f3digo de shell incrustado en el VBScript en la memoria.<\/p>\n<p>El shellcode, adem\u00e1s de incorporar los mismos m\u00e9todos de antian\u00e1lisis, descarga un payload final elegido por el atacante desde un servidor remoto y lo ejecuta en el host comprometido.<\/p>\n<p>&#8220;El shellcode emplea varios trucos contra el an\u00e1lisis y la depuraci\u00f3n en cada paso de la ejecuci\u00f3n, arrojando un mensaje de error si el shellcode detecta alg\u00fan an\u00e1lisis conocido de los mecanismos de depuraci\u00f3n&#8221;, se\u00f1alaron los investigadores.<\/p>\n<p>Esto incluye comprobaciones anti-depuraci\u00f3n y anti-desmontaje para detectar la presencia de un depurador remoto y puntos de interrupci\u00f3n y, si se encuentran, terminar el c\u00f3digo de shell.  El shellcode tambi\u00e9n presenta escaneos para software de virtualizaci\u00f3n.<\/p>\n<p>Una capacidad adicional es lo que la compa\u00f1\u00eda de ciberseguridad llama un &#8220;mecanismo de inyecci\u00f3n de c\u00f3digo redundante&#8221; para evitar <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows-hardware\/drivers\/kernel\/libraries-and-headers\" target=\"_blank\">NTDLL.dll<\/a> ganchos implementados por soluciones de detecci\u00f3n y respuesta de punto final (EDR).<\/p>\n<p>API de NTDLL.dll <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/winmsg\/about-hooks\" target=\"_blank\">enganche<\/a> es un <a rel=\"nofollow noopener\" href=\"https:\/\/www.mdsec.co.uk\/2020\/08\/firewalker-a-new-approach-to-generically-bypass-user-space-edr-hooking\/\" target=\"_blank\">t\u00e9cnica<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/cymulate.com\/blog\/extracting-syscalls-from-a-suspended-process\/\" target=\"_blank\">usado<\/a> por motores antimalware para detectar y marcar procesos sospechosos en Windows al monitorear las API que se sabe que son abusadas por los actores de amenazas.<\/p>\n<p>En pocas palabras, el m\u00e9todo implica el uso de instrucciones de ensamblaje para invocar la funci\u00f3n API de Windows necesaria para asignar memoria (es decir, <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows-hardware\/drivers\/ddi\/ntifs\/nf-ntifs-ntallocatevirtualmemory\" target=\"_blank\">NtAsignarMemoriaVirtual<\/a>) e inyectar Shellcode arbitrario en la memoria a trav\u00e9s de <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1055\/012\/\" target=\"_blank\">proceso de vaciado<\/a>. <\/p>\n<p><iframe loading=\"lazy\" title=\"Blindside: A New Technique for EDR Evasion with Hardware Breakpoints\" width=\"640\" height=\"360\" src=\"https:\/\/www.youtube.com\/embed\/5LudHSojlXA?feature=oembed\" frameborder=\"0\" allow=\"accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" allowfullscreen><\/iframe><\/p>\n<p>Los hallazgos de CrowdStrike tambi\u00e9n se producen cuando la empresa de seguridad cibern\u00e9tica Cymulate demostr\u00f3 una t\u00e9cnica de derivaci\u00f3n de EDR conocida como <a rel=\"nofollow noopener\" href=\"https:\/\/cymulate.com\/blog\/blindside-a-new-technique-for-edr-evasion-with-hardware-breakpoints\" target=\"_blank\">Lado siego<\/a> que permite ejecutar c\u00f3digo arbitrario mediante el uso de puntos de interrupci\u00f3n de hardware para crear un &#8220;proceso con solo el NTDLL en un estado independiente y desenganchado&#8221;.<\/p>\n<p>&#8220;GuLoader sigue siendo una amenaza peligrosa que evoluciona constantemente con nuevos m\u00e9todos para evadir la detecci\u00f3n&#8221;, concluyeron los investigadores.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/guloader-malware-utilizing-new.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80226 de diciembre de 2022\ue804Ravie Lakshman\u00e1nIngenier\u00eda inversa Los investigadores de seguridad cibern\u00e9tica han expuesto una amplia variedad de<\/p>\n","protected":false},"author":1,"featured_media":544118,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,28129,4662,135618,4668,4667,4669,4654,4658,4659,4653,4655,2498,18,4663,42,4666,4665,6246,12230,6984,4660],"class_list":["post-544116","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-evadir","tag-filtracion-de-datos","tag-guloader","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuevas","tag-para","tag-programa-malicioso-ransomware","tag-seguridad","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software","tag-tecnicas","tag-utiliza","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/544116","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=544116"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/544116\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/544118"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=544116"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=544116"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=544116"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}