3-ёхэтапный процесс заражения и продвинутые функции обхода EDR-механизмов.
Исследователи кибербезопасности CrowdStrike выявили широкий спектр методов , используемых продвинутым загрузчиком вредоносных программ GuLoader для обхода средств безопасности.
GuLoader (CloudEyE) – VBS-загрузчик (Visual Basic Script, VBS), который используется для распространения RAT-троянов, например, Remcos . Впервые он был обнаружен в 2019 году.
Обнаруженный образец GuLoader демонстрирует трехэтапный процесс заражения:
- Первый этап: VBS-дроппер помещает упакованную полезную нагрузку второго этапа в раздел реестра. Затем он использует PowerShell-сценарий для выполнения и распаковки полезной нагрузки второго этапа из раздела реестра в памяти.
- Второй этап: Полезная нагрузка второго этапа выполняет процедуры антианализа, создает процесс Windows (например, ieinstal.exe) и внедряет тот же шелл-код в новый процесс.
- Третий этап: заново реализуются все приемы антианализа, загружается финальная полезная нагрузка с удаленного сервера и выполняется на машине жертвы.
Вредоносная программа реализует антиотладочные и антидизассемблирующие проверки для обнаружения наличия точек останова, используемых для анализа кода. Эксперты также заявили, что дополнительная возможность GuLoader — «механизм внедрения избыточного кода» для избегания перехвата компонента NTDLL.dll. Перехват API NTDLL.dll — это метод, используемый механизмами защиты от вредоносных программ для обнаружения и пометки подозрительных процессов в Windows путем отслеживания API злоумышленников.
Исследователи заключили, что GuLoader остается опасной угрозой, которая постоянно развивается благодаря новым методам уклонения от обнаружения.