GuLoader Malware Utilizing New Techniques to Evade Security Software
2022/12/26 TheHackerNews — サイバー・セキュリティ研究者たちは、GuLoader と呼ばれる高度なマルウェア・ダウンローダと、そこで採用されるセキュリティ・ソフトウェア回避のための、各種のテクニックを公開した。CrowdStrike の研究者である Sarang Sonawane と Donato Onofri は、先週に公開された技術レポートで、「新しいシェルコード分析防止技術は、プロセス・メモリ全体をスキャンして、仮想マシン (VM) 関連の文字列を探すことで、研究者や敵対者の環境を妨害しようと試みる」と述べている。
CloudEyE とも呼ばれる GuLoader は、2019年に野放し状態で攻撃が検出された Visual Basic Script (VBS) ダウンローダーであり、感染させたマシンにリモートアクセス型トロイの木馬を配布するために使用される。
2021年11月には、Base64 エンコードされた VBScript ドロッパーで GuLoader をドロップする導線として、RATDispenser と呼ばれる JavaScript マルウェアが出現している。
CrowdStrike が発見した GuLoader の最新サンプルは、3段階のプロセスを示している。その悪意の VBScript は、VBScript 内に埋め込まれたシェルコードをメモリに注入する前に、アンチ解析チェックを実行し、次の段階を配信するように設計されている。
このシェルコードは、同じアンチ・アナリシス手法を取り入れた上で、攻撃者が選択した最終的なペイロードをリモート・サーバからダウンロードし、侵害したホスト上で実行する。
研究者たちは、「このシェルコードは、実行の各ステップにおいて、いくつかのアンチ解析/アンチ・デバッグの手法を採用している。シェルコードが既知の解析およびデバッグのメカニズムを検出すると、エラーメッセージを表示する」と指摘している。
つまり、リモート・デバッガーやブレークポイントの存在を検出する、アンチ・デバッグ/アンチ・ディスアセンブルなどのチェックが含まれており、発見された場合にはシェルコードを終了させる。また、シェルコードには、仮想化ソフトのスキャン機能もある。
さらに、EDR (Endpoint Detection and Response) ソリューションが実装する NTDLL.dll フックを回避するために、CrowdStrike が “redundant code injection mechanism” と呼ぶ機能が追加されている。
NTDLL.dll API フックとは、脅威アクターが悪用しているとされる API を、マルウェア対策エンジンが監視することで、Windows 上の疑わしいプロセスを検知してフラグを立てるために用いる手法のことだ。
この手法は、アセンブリ命令を用いて、必要な Windows API 関数を呼び出してメモリを確保し (NtAllocateVirtualMemory) 、プロセスの空洞化させることで、メモリに任意のシェルコードを注入するというものだ。
サイバー・セキュリティ企業である Cymulate が、Blindside と呼ばれる EDR バイパス技術を実証したが、CrowdStrike の調査結果は、それを裏付けている。つまり、ハードウェア・ブレークポイントを使用して、NTDLL だけがスタンドアロンでフックされていないプロセスを作り出すことで、任意のコードを実行できるようにするものだ。
研究者たちは、「GuLoader は検出を回避するために、新しい手法を追加して常に進化しており、依然として危険な脅威だ 」と結論付けている。
12月26日の「PrivateLoader という PPI サービス:情報窃取型マルウェア RisePro を配布」では、PPI と InfoStealer のセットに注目すべきだと述べられていました。しかし、PrivateLoader の検出回避能力も、この GuLoader と同様に高そうです。この 2022年は、Ransomware-as-a-Service が注目を集めましたが、それだけに限ることなく、サイバー犯罪のエコシステムが、様々な局面で進化した年だと思えます。
IoT OT Security News 
You must be logged in to post a comment.