CrowdStrike 研究人员 Sarang Sonawane 和 Donato Onofri在上周发表的一篇技术文章中说: “新的 shellcode 反分析技术试图通过扫描整个进程内存中任何与虚拟机 (VM) 相关的字符串来阻止研究人员和敌对环境。”
GuLoader,也称为CloudEyE,是一种 Visual Basic Sc??ript (VBS) 下载程序,用于在受感染的计算机上分发远程访问木马。它于 2019 年首次在野外被发现。
2021 年 11 月,一种名为 RATDispenser 的 JavaScript 恶意软件变种成为通过 Base64 编码的 VBScript 植入器植入 GuLoader 的渠道。
CrowdStrike 最近发现的一个 GuLoader 样本展示了一个三阶段过程,其中 VBScript 旨在提供下一阶段,在将 VBScript 中嵌入的 shellcode 注入内存之前执行反分析检查。
shellcode 除了包含相同的反分析方法外,还会从远程服务器下载攻击者选择的最终有效载荷,并在受感染的主机上执行。
研究人员指出:“shellcode 在执行的每一步都采用了多种反分析和反调试技巧,如果 shellcode 检测到任何已知的调试机制分析,就会抛出一条错误消息。”
这包括反调试和反反汇编检查,以检测远程调试器和断点的存在,如果找到,则终止 shellcode。shellcode 还具有扫描虚拟化软件的功能。
一项附加功能被网络安全公司称为“冗余代码注入机制”,以避免端点检测和响应 (EDR) 解决方案实施的NTDLL.dll挂钩。
NTDLL.dll API挂钩是反恶意软件引擎使用的一种技术 ,通过监视已知被威胁参与者滥用的 API 来检测和标记 Windows 上的可疑进程。
简而言之,该方法涉及使用汇编指令调用必要的Windows API函数来分配内存(即NtAllocateVirtualMemory ),并通过process hollowing将任意shellcode注入内存。
CrowdStrike 的发现也来自于网络安全公司 Cymulate 展示了一种称为 Blindside 的 EDR 绕过技术,该技术允许通过使用硬件断点来创建“只有 NTDLL 处于独立、未挂钩状态的进程”来运行任意代码。
“GuLoader 仍然是一个危险的威胁,它一直在不断发展新的方法来逃避检测,”研究人员总结道。
