Siber güvenlik araştırmacıları, gelişmiş bir kötü amaçlı yazılım indirici tarafından benimsenen çok çeşitli teknikleri ortaya çıkardı. GuLoader güvenlik yazılımından kaçmak için
CrowdStrike araştırmacıları Sarang Sonawane ve Donato Onofri, “Yeni kabuk kodu anti-analiz tekniği, sanal makine (VM) ile ilgili tüm diziler için tüm işlem belleğini tarayarak araştırmacıları ve düşmanca ortamları engellemeye çalışıyor.” söz konusu geçen hafta yayınlanan teknik bir yazıda.
GuLoader olarak da bilinir BulutEyE, virüslü makinelerde uzaktan erişim truva atlarını dağıtmak için kullanılan bir Visual Basic Komut Dosyası (VBS) indiricisidir. İlk olarak 2019’da vahşi doğada tespit edildi.
Kasım 2021’de, RATDispenser adlı bir JavaScript kötü amaçlı yazılım türü, Base64 kodlu bir VBScript damlalığı aracılığıyla GuLoader’ı bırakmak için bir kanal olarak ortaya çıktı.
CrowdStrike tarafından ortaya çıkarılan yeni bir GuLoader örneği, VBScript’in, VBScript içinde gömülü kabuk kodunu belleğe enjekte etmeden önce anti-analiz kontrolleri gerçekleştiren bir sonraki aşama sağlamak üzere tasarlandığı üç aşamalı bir süreç sergiliyor.
Kabuk kodu, aynı anti-analiz yöntemlerini içermesinin yanı sıra, saldırganın seçtiği son bir yükü uzak bir sunucudan indirir ve güvenliği ihlal edilmiş ana bilgisayarda yürütür.
Araştırmacılar, “Kabuk kodu, yürütmenin her adımında birkaç anti-analiz ve anti-hata ayıklama numarası kullanır ve kabuk kodu, hata ayıklama mekanizmalarının bilinen herhangi bir analizini tespit ederse bir hata mesajı atar.”
Bu, uzak bir hata ayıklayıcının ve kesme noktalarının varlığını algılamak ve bulunursa kabuk kodunu sonlandırmak için hata ayıklamayı önleme ve parçalarına ayırmayı önleme kontrollerini içerir. Kabuk kodu ayrıca sanallaştırma yazılımı için taramalar da içerir.
Ek bir yetenek, siber güvenlik şirketinin önlemek için “yedek kod enjeksiyon mekanizması” olarak adlandırdığı şeydir. NTDLL.dll uç nokta algılama ve yanıt (EDR) çözümleri tarafından uygulanan kancalar.
NTDLL.dll API’si çengel bir teknik Kullanılmış tehdit aktörleri tarafından kötüye kullanıldığı bilinen API’leri izleyerek Windows’taki şüpheli işlemleri algılamak ve işaretlemek için kötü amaçlı yazılımdan koruma motorları tarafından.
Özetle, yöntem, belleği tahsis etmek için gerekli windows API işlevini çağırmak için derleme yönergelerinin kullanılmasını içerir (örn. NtAllocateSanal Bellek) ve aracılığıyla belleğe rasgele kabuk kodunu enjekte edin süreç oyuk.
CrowdStrike’tan elde edilen bulgular, siber güvenlik firması Cymulate olarak bilinen bir EDR baypas tekniğini gösterdiği için de geldi. Kör taraf bu, “tek başına, kancasız durumda yalnızca NTDLL ile bir işlem” oluşturmak için donanım kesme noktalarını kullanarak rasgele kod çalıştırmaya izin verir.
Araştırmacılar, “GuLoader, tespit edilmekten kaçınmak için sürekli yeni yöntemlerle gelişen tehlikeli bir tehdit olmaya devam ediyor.”
