Cybersecurity-Forscher haben eine Vielzahl von Techniken aufgedeckt, die ein fortschrittlicher Malware-Downloader namens GuLoader einsetzt, um Sicherheitssoftware zu umgehen.
„Eine neue Shellcode-Analysetechnik versucht, Forscher und feindliche Umgebungen zu täuschen, indem sie den gesamten Prozessspeicher auf alle mit der virtuellen Maschine (VM) zusammenhängenden Zeichenfolgen scannt“, so die CrowdStrike-Forscher Sarang Sonawane und Donato Onofri in einem technischen Bericht, der letzte Woche veröffentlicht wurde.
GuLoader, auch CloudEyE genannt, ist ein Visual Basic Script (VBS) Downloader, der dazu verwendet wird, Remote-Access-Trojaner auf infizierten Rechnern zu verbreiten. Er wurde zum ersten Mal im Jahr 2019 in freier Wildbahn entdeckt.
Im November 2021 tauchte ein JavaScript-Malware-Stamm namens RATDispenser auf, der GuLoader mit Hilfe eines Base64-kodierten VBScript-Droppers verbreitet.
Ein kürzlich von CrowdStrike entdecktes GuLoader-Beispiel zeigt einen dreistufigen Prozess, bei dem das VBScript so konzipiert ist, dass es in der nächsten Stufe Anti-Analyse-Prüfungen durchführt, bevor es den im VBScript eingebetteten Shellcode in den Speicher injiziert.
Der Shellcode enthält dieselben Anti-Analyse-Methoden und lädt eine Nutzlast nach Wahl des Angreifers von einem entfernten Server herunter und führt sie auf dem angegriffenen Rechner aus.
„Der Shellcode wendet bei jedem Ausführungsschritt mehrere Anti-Analyse- und Anti-Debugging-Tricks an und gibt eine Fehlermeldung aus, wenn der Shellcode bekannte Analyse- oder Debugging-Mechanismen entdeckt“, so die Forscher.
Dazu gehören Anti-Debugging- und Anti-Disassembling-Prüfungen, um das Vorhandensein eines Remote-Debuggers und von Haltepunkten zu erkennen und den Shellcode zu beenden, wenn er gefunden wird. Der Shellcode scannt auch nach Virtualisierungssoftware.
Eine zusätzliche Fähigkeit ist ein „redundanter Code-Injektionsmechanismus“, der NTDLL.dll-Hooks von Endpoint Detection and Response (EDR)-Lösungen umgeht, wie das Cybersecurity-Unternehmen es nennt.
NTDLL.dll API Hooking ist eine Technik , die von Anti-Malware-Engines verwendet wird, um verdächtige Prozesse unter Windows zu erkennen und zu markieren, indem sie die APIs überwachen, die bekanntermaßen von Bedrohungsakteuren missbraucht werden.
Kurz gesagt, beinhaltet die Methode die Verwendung von Assembler-Befehlen, um die notwendige Windows-API-Funktion aufzurufen, um Speicher zuzuweisen (d.h. NtAllocateVirtualMemory) und beliebigen Shellcode über Process Hollowing in den Speicher zu injizieren.
Die Erkenntnisse von CrowdStrike kommen auch daher, dass die Cybersecurity-Firma Cymulate eine EDR-Umgehungstechnik namens Blindside demonstriert hat, die es ermöglicht, beliebigen Code auszuführen, indem Hardware-Breakpoints verwendet werden, um einen „Prozess mit nur der NTDLL in einem eigenständigen, nicht eingehakten Zustand“ zu erzeugen.
„GuLoader bleibt eine gefährliche Bedrohung, die sich ständig mit neuen Methoden weiterentwickelt, um der Entdeckung zu entgehen“, so die Forscher.