GuLoader - это продвинутый загрузчик шеллкода, печально известный тем, что использует уловки анти-анализа для уклонения от обнаружения и препятствия обратной разработке. На данный момент кампания по борьбе с GuLoader активно продолжается. Клиенты компании Trellix, работающие в сфере электронной коммерции и расположенные в Южной Корее и Соединенных Штатах, подверглись серьезной атаке со стороны операторов GuLoader.
GuLoader
NSIS - это система с открытым исходным кодом, используемая для разработки программ установки Windows. Ниже перечислены некоторые из ее замечательных возможностей.
- Основана на сценариях и совершенно бесплатна для любого использования
- Вредоносный код и исполняемые файлы могут быть упакованы вместе с легитимными установщиками
- Может напрямую вызывать API Windows, и уже доступны плагины для загрузки модулей .NET, MSSQL и других
- Подобно VBA, JavaScript и другим вредоносным программам на основе сценариев, обфускация может применяться для обхода детектирования статическими сигнатурами
Скомпилированный исполняемый файл NSIS можно определить с помощью шестнадцатеричного редактора. Раздел .ndata должен существовать, а строка "Nullsoft Inst" должна быть расположена по смещению 8 от оверлея. Для идентификации исполняемых файлов NSIS можно также использовать детекторы компиляторов и упаковщиков, такие как PEiD и DIE (Detect it Easy).
В ноябре 2021 года, еще до того, как угрожающие лица начали использовать исполняемые файлы NSIS, Trellix получила zip-файл 703254254bf23f72b26f54a936cda496. В zip-файле содержится документ Word с макросом. Макрос создает ярлык LNK и VBS-скрипт. VBS-скрипт создает PE-файл, а затем PE-файл загружает шеллкод GuLoader для загрузки полезной нагрузки.
В 2022 году субъекты угроз перешли к использованию исполняемых файлов NSIS для загрузки шеллкода GuLoader. Например, исполняемый файл NSIS встраивается в zip-файл, а электронное письмо заманивает пользователя открыть выписку по счету (рис. 5). В другом варианте исполняемый файл NSIS встраивается в ISO-образ и выдает себя за запрос на предложение о продаже продукции.
Встраивание вредоносных исполняемых файлов в архивы и изображения может помочь субъектам угроз избежать обнаружения. Варианты архивов и изображений, используемых для встраивания исполняемых файлов NSIS, которые мы наблюдали в 2022 году.
В первые две недели декабря 2022 года Trellix обнаружил не менее 5 000 событий, связанных с вложениями электронной почты GuLoader. Целью атаки стали как минимум 15 клиентов Trellix в 13 странах в 10 отраслях.
В ноябре 2022 года компания Trellix получила NSIS-файл ff091158eec27558905a598dee86c043. Извлеченный из этого файла шеллкод GuLoader использует процедуру расшифровки XOR, которая была неизменной во всех версиях в течение года. В старых образцах с февраля по сентябрь 2022 года зашифрованные строки располагались по определенным смещениям в шеллкоде GuLoader. Вычисление, конкатенация зашифрованных строк перед расшифровкой строк не производились. Зашифрованные данные и длина зашифрованных данных просто копировались из определенного места и передавались в функцию расшифровки.
Шелл-код GuLoader из ff091158eec27558905a598dee86c043 вводил новое обновление, конкатенируя буфер зашифрованных данных. Длина зашифрованных данных и зашифрованные данные вычисляются для каждого DWORD во время выполнения с помощью специальных рандомизированных математических операций
В целом, код загрузчика NSIS и шелл-код GuLoader были простыми в феврале 2022 года. К концу года сценарий NSIS стал более обфусцированным, а самым последним изменением стало вычисление и конкатенация зашифрованных данных в шелл-коде GuLoader. Миграция шеллкода GuLoader в исполняемые файлы NSIS является ярким примером, демонстрирующим творческий подход и упорство субъектов угроз в попытках обойти обнаружение, предотвратить анализ в песочнице и воспрепятствовать обратному инжинирингу.
Indicators of Compromise
URLs
- http://146.70.79.13/GPUARDJZecPp13.smi
- http://193.239.86.180/build_CMxTGk211.bin
- http://37.120.222.192/texas_TYBnb22.bin
- http://45.137.117.184/hvntfVSKcCQt84.dsp
- http://91.245.255.55/java_agent_sZOCrs225.bin
- http://jmariecompany.com/kOrg_sIhYtzsF95.bin
- http://linkedindianer.com/infoo_UXXITSZ73.bin
- http://posadalaprotegida.com.ar/EbiCBZqpSxRr192.msi
- http://www.aortistf.tk/MAKS_rOOOVChP166.bin
- https://drive.google.com/uc?export=download&id=1ansa1ONnGoAMkTEB_Wbp1HpGzRPmLHCq
- https://drive.google.com/uc?export=download&id=1bR29icPd_54Rzhuz9C80B1EpULuWDlVt
- https://drive.google.com/uc?export=download&id=1ffapdpLWKae2MES2ltCw9RdNejEAZDAQ
- https://drive.google.com/uc?export=download&id=1YScc0lvOAwwaCDu5uuYbn6tWSsZGxlEM
- https://staninnovationgroupllc.com/MYFORMBOOK_eyHVNu169.bin
MD5
- 1349db7fd7aaa4a1547cd4381cd7a9b1
- 22b82f46f0ff7c7a1b375aa84867d277
- 703254254bf23f72b26f54a936cda496
- a5bb4f5bacfabb9c81035fec65a84012
- aa074c005a4b2e89dedd45bd9d869881
- b53d5a3078e3d1cae1cf8f150987eb7f
- bd8d50eacc2cb7c6759fa5a62791e8d0
- bffd0312e6151472c32be6dea6897b50
- c691bc9cb2682c023351aa7460242eb9
- d31f6ec6a53b1a2659d4697b72900dac
- f5e9499818bb35be1d5b670b833216bf
- ff091158eec27558905a598dee86c043