Вредоносное ПО GuLoader использует новые методы обхода программ безопасности

Вредоносное ПО GuLoader использует новые методы обхода программ безопасности

3-ёхэтапный процесс заражения и продвинутые функции обхода EDR-механизмов.

image

Исследователи кибербезопасности CrowdStrike выявили широкий спектр методов , используемых продвинутым загрузчиком вредоносных программ GuLoader для обхода средств безопасности.

GuLoader (CloudEyE) – VBS-загрузчик (Visual Basic Script, VBS), который используется для распространения RAT-троянов, например, Remcos . Впервые он был обнаружен в 2019 году.

Обнаруженный образец GuLoader демонстрирует трехэтапный процесс заражения:

  • Первый этап: VBS-дроппер помещает упакованную полезную нагрузку второго этапа в раздел реестра. Затем он использует PowerShell-сценарий для выполнения и распаковки полезной нагрузки второго этапа из раздела реестра в памяти.
  • Второй этап: Полезная нагрузка второго этапа выполняет процедуры антианализа, создает процесс Windows (например, ieinstal.exe) и внедряет тот же шелл-код в новый процесс.
  • Третий этап: заново реализуются все приемы антианализа, загружается финальная полезная нагрузка с удаленного сервера и выполняется на машине жертвы.

Вредоносная программа реализует антиотладочные и антидизассемблирующие проверки для обнаружения наличия точек останова, используемых для анализа кода. Эксперты также заявили, что дополнительная возможность GuLoader — «механизм внедрения избыточного кода» для избегания перехвата компонента NTDLL.dll. Перехват API NTDLL.dll — это метод, используемый механизмами защиты от вредоносных программ для обнаружения и пометки подозрительных процессов в Windows путем отслеживания API злоумышленников.

Исследователи заключили, что GuLoader остается опасной угрозой, которая постоянно развивается благодаря новым методам уклонения от обнаружения.

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!