{"id":529043,"date":"2022-12-26T12:26:38","date_gmt":"2022-12-26T14:26:38","guid":{"rendered":"https:\/\/teknomers.com\/fr\/guloader-malware-utilise-de-nouvelles-techniques-pour-echapper-aux-logiciels-de-securite\/"},"modified":"2022-12-26T12:26:40","modified_gmt":"2022-12-26T14:26:40","slug":"guloader-malware-utilise-de-nouvelles-techniques-pour-echapper-aux-logiciels-de-securite","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/guloader-malware-utilise-de-nouvelles-techniques-pour-echapper-aux-logiciels-de-securite\/","title":{"rendered":"GuLoader Malware utilise de nouvelles techniques pour \u00e9chapper aux logiciels de s\u00e9curit\u00e9"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">26 d\u00e9cembre 2022<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Ing\u00e9nierie inverse<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont expos\u00e9 une grande vari\u00e9t\u00e9 de techniques adopt\u00e9es par un t\u00e9l\u00e9chargeur de logiciels malveillants avanc\u00e9 appel\u00e9 <strong>GuLoaderComment<\/strong> pour \u00e9chapper aux logiciels de s\u00e9curit\u00e9.<\/p>\n<p>&#8220;La nouvelle technique d&#8217;anti-analyse de shellcode tente de contrecarrer les chercheurs et les environnements hostiles en analysant l&#8217;int\u00e9gralit\u00e9 de la m\u00e9moire de processus \u00e0 la recherche de cha\u00eenes li\u00e9es \u00e0 une machine virtuelle (VM)&#8221;, ont d\u00e9clar\u00e9 Sarang Sonawane et Donato Onofri, chercheurs de CrowdStrike. <a rel=\"nofollow noopener\" href=\"https:\/\/www.crowdstrike.com\/blog\/guloader-dissection-reveals-new-anti-analysis-techniques-and-code-injection-redundancy\/\" target=\"_blank\">m&#8217;a dit<\/a> dans un article technique publi\u00e9 la semaine derni\u00e8re.<\/p>\n<p>GuLoader, \u00e9galement appel\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.cloudeye\" target=\"_blank\">CloudEyE<\/a>, est un t\u00e9l\u00e9chargeur Visual Basic Script (VBS) utilis\u00e9 pour distribuer des chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance sur des machines infect\u00e9es.  Il a \u00e9t\u00e9 d\u00e9tect\u00e9 pour la premi\u00e8re fois dans la nature en 2019.<\/p>\n<p>En novembre 2021, une souche de malware JavaScript baptis\u00e9e RATDispenser est apparue comme un moyen de supprimer GuLoader au moyen d&#8217;un compte-gouttes VBScript cod\u00e9 en Base64.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/uptycs-inside\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEiFnQCqFUEdZwz09FePR3hG7AgLONIkxkHQShYlYG9sMAfmFEby7X_H70pQ-9LE4EGZ23DtteXmqkaRJtbEWD3LgdJDEQS_GzBo6ugwqRwVEo_kbRN9E1kruaJrfiBDjY0e2mRjaHuWU1gkUzsLRVbvt0IMXMhc3P1YIy9M0fvNOrWDRwsyC7dkMcnC1A\/s728-e365-rj\/welcome-728.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Un r\u00e9cent \u00e9chantillon de GuLoader d\u00e9couvert par CrowdStrike pr\u00e9sente un processus en trois \u00e9tapes dans lequel le VBScript est con\u00e7u pour fournir une \u00e9tape suivante qui effectue des v\u00e9rifications anti-analyse avant d&#8217;injecter le shellcode int\u00e9gr\u00e9 dans le VBScript dans la m\u00e9moire.<\/p>\n<p>Le shellcode, en plus d&#8217;incorporer les m\u00eames m\u00e9thodes d&#8217;anti-analyse, t\u00e9l\u00e9charge une charge utile finale du choix de l&#8217;attaquant \u00e0 partir d&#8217;un serveur distant et l&#8217;ex\u00e9cute sur l&#8217;h\u00f4te compromis.<\/p>\n<p>&#8220;Le shellcode utilise plusieurs astuces anti-analyse et anti-d\u00e9bogage \u00e0 chaque \u00e9tape de l&#8217;ex\u00e9cution, lan\u00e7ant un message d&#8217;erreur si le shellcode d\u00e9tecte une analyse connue des m\u00e9canismes de d\u00e9bogage&#8221;, ont soulign\u00e9 les chercheurs.<\/p>\n<p>Cela inclut des contr\u00f4les anti-d\u00e9bogage et anti-d\u00e9sassemblage pour d\u00e9tecter la pr\u00e9sence d&#8217;un d\u00e9bogueur distant et de points d&#8217;arr\u00eat, et s&#8217;ils sont trouv\u00e9s, terminer le shellcode.  Le shellcode propose \u00e9galement des scans pour les logiciels de virtualisation.<\/p>\n<p>Une capacit\u00e9 suppl\u00e9mentaire est ce que la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 appelle un &#8220;m\u00e9canisme d&#8217;injection de code redondant&#8221; pour \u00e9viter <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows-hardware\/drivers\/kernel\/libraries-and-headers\" target=\"_blank\">NTDLL.dll<\/a> crochets mis en \u0153uvre par les solutions de d\u00e9tection et de r\u00e9ponse aux points finaux (EDR).<\/p>\n<p>API NTDLL.dll <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/winmsg\/about-hooks\" target=\"_blank\">crochet<\/a> est un <a rel=\"nofollow noopener\" href=\"https:\/\/www.mdsec.co.uk\/2020\/08\/firewalker-a-new-approach-to-generically-bypass-user-space-edr-hooking\/\" target=\"_blank\">technique<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/cymulate.com\/blog\/extracting-syscalls-from-a-suspended-process\/\" target=\"_blank\">utilis\u00e9<\/a> par des moteurs anti-malware pour d\u00e9tecter et signaler les processus suspects sur Windows en surveillant les API dont on sait qu&#8217;elles sont utilis\u00e9es de mani\u00e8re abusive par les pirates.<\/p>\n<p>En un mot, la m\u00e9thode consiste \u00e0 utiliser des instructions d&#8217;assemblage pour invoquer la fonction API Windows n\u00e9cessaire pour allouer de la m\u00e9moire (c&#8217;est-\u00e0-dire, <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows-hardware\/drivers\/ddi\/ntifs\/nf-ntifs-ntallocatevirtualmemory\" target=\"_blank\">NtAllocateVirtualMemory<\/a>) et injecter un shellcode arbitraire dans la m\u00e9moire via <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1055\/012\/\" target=\"_blank\">processus d&#8217;\u00e9videment<\/a>. <\/p>\n<p><iframe loading=\"lazy\" title=\"Blindside: A New Technique for EDR Evasion with Hardware Breakpoints\" width=\"640\" height=\"360\" src=\"https:\/\/www.youtube.com\/embed\/5LudHSojlXA?feature=oembed\" frameborder=\"0\" allow=\"accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" allowfullscreen><\/iframe><\/p>\n<p>Les conclusions de CrowdStrike surviennent \u00e9galement alors que la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Cymulate a d\u00e9montr\u00e9 une technique de contournement EDR connue sous le nom de <a rel=\"nofollow noopener\" href=\"https:\/\/cymulate.com\/blog\/blindside-a-new-technique-for-edr-evasion-with-hardware-breakpoints\" target=\"_blank\">C\u00f4t\u00e9 aveugle<\/a> qui permet d&#8217;ex\u00e9cuter du code arbitraire en utilisant des points d&#8217;arr\u00eat mat\u00e9riels pour cr\u00e9er un &#8220;processus avec uniquement la NTDLL dans un \u00e9tat autonome et d\u00e9croch\u00e9&#8221;.<\/p>\n<p>&#8220;GuLoader reste une menace dangereuse qui \u00e9volue constamment avec de nouvelles m\u00e9thodes pour \u00e9chapper \u00e0 la d\u00e9tection&#8221;, ont conclu les chercheurs.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/guloader-malware-utilizing-new.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80226 d\u00e9cembre 2022\ue804Ravie LakshmananIng\u00e9nierie inverse Les chercheurs en cybers\u00e9curit\u00e9 ont expos\u00e9 une grande vari\u00e9t\u00e9 de techniques adopt\u00e9es par un t\u00e9l\u00e9chargeur de logiciels malveillants avanc\u00e9 appel\u00e9 GuLoaderComment pour \u00e9chapper aux logiciels de s\u00e9curit\u00e9. &#8220;La nouvelle technique d&#8217;anti-analyse de shellcode tente de contrecarrer les chercheurs et les environnements hostiles en analysant l&#8217;int\u00e9gralit\u00e9 de la m\u00e9moire de processus [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":529045,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[507,4168,4158,4165,4161,21314,134817,4157,4159,4171,4170,4167,4589,4174,4160,120,4163,4162,185,1835,4172,4169,7447,1282,4166,4164],"class_list":["post-529043","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-aux","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-echapper","tag-guloader","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-logiciels","tag-malware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pour","tag-securite","tag-securite-informatique","tag-securite-internet","tag-techniques","tag-utilise","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/529043","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=529043"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/529043\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/529045"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=529043"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=529043"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=529043"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}