利用新技术规避安全软件的GuLoader恶意软件

网络安全研究人员揭露了一个名为古洛阿德以规避安全软件。

CrowdStrike研究人员Sarang Sonawane和Donato Onofri在上周发表的一篇技术报告中表示：“新的外壳代码反分析技术试图通过扫描整个进程内存中的任何虚拟机（VM）相关字符串来阻止研究人员和敌对环境”。

GuLoader，也称为CloudEyE，是一个Visual Basic Script (VBS)下载器，用于在受感染的机器上分发远程访问木马(如Remcos)。它于2019年首次在野外被发现。

2021 11月，一种名为RATDesenser的JavaScript恶意软件菌株出现，作为通过Base64编码的VBScript滴管丢弃GuLoader的管道。

CrowdStrike最近出土的一个GuLoader样本展示了一个三阶段过程，其中VBScript被设计为在将嵌入VBScript中的外壳代码注入内存之前执行反分析检查的下一阶段。

外壳代码除了包含相同的反分析方法外，还从远程服务器下载攻击者选择的最终有效负载，并在受损主机上执行。

研究人员指出：“外壳代码在执行的每一步都采用了一些反分析和反调试技巧，如果外壳代码检测到任何已知的调试机制分析，就会抛出错误消息”。

这包括反调试和反反汇编检查，以检测远程调试器和断点的存在，如果发现，则终止外壳代码。外壳代码还具有虚拟化软件扫描功能。

网络安全公司称之为“冗余代码注入机制”，以避免端点检测和响应（EDR）解决方案实现的NTDLL.dll挂钩。

NTDLL.dll API挂钩是反恶意软件引擎使用的一种技术，通过监视已知被威胁行为者滥用的API来检测和标记Windows上的可疑进程。

简而言之，该方法涉及使用汇编指令调用必要的windows API函数来分配内存（即NtAllocateVirtualMemory），并通过进程中空将任意外壳代码注入该位置。

CrowdStrike的这一发现还发生在网络安全公司Cymulate演示了一种EDR旁路技术Blindside时，该技术允许通过使用硬件断点创建一个“仅NTDLL处于独立、未挂起状态的进程”来运行任意代码。

研究人员总结道：“GuLoader仍然是一种危险的威胁，随着新方法的不断发展，它可以逃避检测”。