Evoluciona constantemente con nuevos métodos para evadir la detección
Investigadores de seguridad cibernética han expuesto una amplia variedad de técnicas adoptadas por un descargador de malware avanzado llamado GuLoader para evadir el software de seguridad.
"La nueva técnica de antianálisis de shellcode intenta frustrar a los investigadores y los entornos hostiles al escanear la memoria del proceso completo en busca de cadenas relacionadas con máquinas virtuales (VM)", dijeron en un artículo técnico publicado la semana pasada los investigadores de CrowdStrike, Sarang Sonawane y Donato Onofri.
GuLoader, también llamado CloudEyE, es un descargador de Visual Basic Script (VBS) que se usa para distribuir troyanos de acceso remoto en máquinas infectadas. Se detectó por primera vez en la naturaleza en 2019.
En noviembre de 2021, surgió una variedad de malware de JavaScript denominada RATDispenser como un conducto para colocar GuLoader a través de un cuentagotas VBScript codificado en Base64.
Una muestra reciente de GuLoader desenterrada por CrowdStrike muestra un proceso de tres etapas en el que el VBScript está diseñado para ofrecer una etapa siguiente que realiza comprobaciones antianálisis antes de inyectar el código de shell incrustado en el VBScript en la memoria.
El shellcode, además de incorporar los mismos métodos de antianálisis, descarga un payload final elegido por el atacante desde un servidor remoto y lo ejecuta en el host comprometido.
"El shellcode emplea varios trucos contra el análisis y la depuración en cada paso de la ejecución, arrojando un mensaje de error si el shellcode detecta algún análisis conocido de los mecanismos de depuración", señalaron los investigadores.
Esto incluye comprobaciones anti-depuración y anti-desmontaje para detectar la presencia de un depurador remoto y puntos de interrupción y, si se encuentran, terminar el código de shell. El shellcode también presenta escaneos para software de virtualización.
Una capacidad adicional es lo que la compañía de seguridad cibernética llama un "mecanismo de inyección de código redundante" para evitar los ganchos NTDLL.dll implementados por las soluciones de detección y respuesta de punto final (EDR).
El enganche de API de NTDLL.dll es una técnica utilizada por los motores antimalware para detectar y marcar procesos sospechosos en Windows al monitorear las API que se sabe que son abusadas por los actores de amenazas.
En pocas palabras, el método implica el uso de instrucciones de ensamblaje para invocar la función API de Windows necesaria para asignar memoria (es decir, NtAllocateVirtualMemory) e inyectar shellcode arbitrario en la memoria a través del vaciado de procesos.
Los hallazgos de CrowdStrike también se producen cuando la empresa de seguridad cibernética Cymulate demostró una técnica de derivación de EDR conocida como Blindside que permite ejecutar código arbitrario mediante el uso de puntos de interrupción de hardware para crear un "proceso con solo NTDLL en un estado independiente y desenganchado".
"GuLoader sigue siendo una amenaza peligrosa que evoluciona constantemente con nuevos métodos para evadir la detección", concluyeron los investigadores.