GuLoader - это продвинутый загрузчик вредоносного ПО, который использует полиморфный загрузчик шеллкода, чтобы обойти традиционные решения безопасности
Исследователи CrowdStrike раскрыли полное поведение GuLoader, отобразив все встроенные хэш-значения DJB2 для каждого API, используемого вредоносным ПО.
Новая техника анти-анализа шеллкода пытается помешать исследователям и враждебным средам путем сканирования всей памяти процесса на наличие строк, связанных с виртуальной машиной (VM).
Новый механизм инъекции избыточного кода позволяет обеспечить выполнение кода с помощью встроенного ассемблера для обхода крючков пользовательского режима из решений по безопасности
Известно, что GuLoader использует значительное количество методов анти-анализа, что затрудняет обнаружение и защиту для других решений безопасности.
Разбирая шеллкод GuLoader, CrowdStrike обнаружила новую технику анти-анализа, предназначенную для определения того, запущена ли вредоносная программа во враждебной среде, путем сканирования всей памяти процесса на наличие строк, связанных с виртуальными машинами (VM). Чтобы обойти механизмы защиты от отладки GuLoader, мы обнаружили и описали два новых рабочих метода исправления инструкций отладчика, предназначенных для обнаружения наличия инструментов отладки, используемых исследователями для анализа.
Indicators of Compromise
SHA256
- f75cefc70404640cf823fe419af6f9841c3cfee17a9fdbe332da251d0964e17f