Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Вредоносное ПО GuLoader использует новые методы обхода программ безопасности

27/12/22

hack158

Исследователи кибербезопасности CrowdStrike выявили широкий спектр методов, используемых продвинутым загрузчиком вредоносных программ GuLoader для обхода средств безопасности. Это передает Securitylab.

GuLoader (CloudEyE) – VBS-загрузчик (Visual Basic Script, VBS), который используется для распространения RAT-троянов, например, Remcos. Впервые он был обнаружен в 2019 году.

Обнаруженный образец GuLoader демонстрирует трехэтапный процесс заражения:

  • Первый этап: VBS-дроппер помещает упакованную полезную нагрузку второго этапа в раздел реестра. Затем он использует PowerShell-сценарий для выполнения и распаковки полезной нагрузки второго этапа из раздела реестра в памяти.
  • Второй этап: Полезная нагрузка второго этапа выполняет процедуры антианализа, создает процесс Windows (например, ieinstal.exe) и внедряет тот же шелл-код в новый процесс.
  • Третий этап: заново реализуются все приемы антианализа, загружается финальная полезная нагрузка с удаленного сервера и выполняется на машине жертвы.

Вредоносная программа реализует антиотладочные и антидизассемблирующие проверки для обнаружения наличия точек останова, используемых для анализа кода. Эксперты также заявили, что дополнительная возможность GuLoader — «механизм внедрения избыточного кода» для избегания перехвата компонента NTDLL.dll. Перехват API NTDLL.dll — это метод, используемый механизмами защиты от вредоносных программ для обнаружения и пометки подозрительных процессов в Windows путем отслеживания API злоумышленников.

Исследователи заключили, что GuLoader остается опасной угрозой, которая постоянно развивается благодаря новым методам уклонения от обнаружения.

Темы:УгрозыCrowdstrikeКиберугрозыдропперы
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...