Исследователи кибербезопасности из Zscaler ThreatLabz представили детальный анализ эволюции методов обфускации, используемых в загрузчике вредоносного ПО GuLoader (также известном как CloudEye). Этот инструмент, впервые обнаруженный в декабре 2019 года, остается активной угрозой, выступая в роли загрузчика для программ-вымогателей (ransomware), троянов удаленного доступа (Remote Access Trojans, RAT) и похитителей данных.
Описание
Ключевой особенностью GuLoader является его постоянное усложнение с целью затруднить анализ и обнаружение. Угроза распространяет вторичные вредоносные нагрузки (payload), часто размещая их на легитимных облачных платформах, таких как Google Drive и OneDrive. Этот прием позволяет злоумышленникам обходить системы безопасности, основанные на репутации источников.
С технической точки зрения, GuLoader использует полиморфный код для динамического построения констант и строк во время выполнения. Вместо того чтобы хранить значения статически, программа комбинирует ассемблерные операции, что серьезно затрудняет создание статических сигнатур для детектирования. Однако главным инструментом сокрытия логики работы является обфускация потока управления на основе исключений.
Данная техника заменяет стандартные инструкции перехода (jmp) на преднамеренно вызываемые исключения процессора. GuLoader настраивает собственный обработчик исключений, который перехватывает эти события и перенаправляет исполнение кода по нужному адресу. Со временем арсенал используемых исключений расширялся. Если в 2022 году GuLoader применял в основном программные точки останова (STATUS_BREAKPOINT), то к 2024-2025 годам он научился использовать исключения пошагового выполнения (STATUS_SINGLE_STEP), нарушения доступа (STATUS_ACCESS_VIOLATION), недопустимые (STATUS_ILLEGAL_INSTRUCTION) и привилегированные инструкции (STATUS_PRIVILEGED_INSTRUCTION).
С каждым обновлением механизм становится сложнее. В ранних версиях зашифрованное смещение для перехода располагалось непосредственно после инструкции, вызывающей исключение. В современных реализациях используется жестко заданное смещение внутри обработчика, которое указывает на байт, содержащий зашифрованный адрес цели. Для дешифровки применяется динамически генерируемый XOR-ключ. Этот многоступенчатый подход значительно усложняет трассировку.
Методы сокрытия строк также эволюционировали. В версии 2022 года зашифрованные строки и ключи хранились статически в шелл-коде. Начиная с 2023 года, GuLoader перешел к более запутанному полиморфному коду, который динамически конструирует расшифрованную строку прямо в стеке, комбинируя операции mov, xor, add и sub над жестко заданными константами. Это существенно затрудняет автоматический анализ.
Для противодействия GuLoader исследователи ThreatLabz разработали и выложили в открытый доступ набор скриптов для дизассемблера IDA. Эти инструменты помогают автоматизировать деобфускацию констант, строк и восстановление нормального потока управления, удаляя сложные механизмы на основе исключений.
Постоянное развитие и усложнение техник обфускации указывают на то, что GuLoader остается серьезной и актуальной угрозой. Его способность эффективно скрывать свою логику и доставлять опасные вторичные нагрузки (payload) через доверенные каналы делает его излюбленным инструментом киберпреступников. Эксперты прогнозируют, что в обозримом будущем эта угроза сохранит свою значимость, требуя от специалистов по безопасности постоянного совершенствования методов анализа и детектирования.
Индикаторы компрометации
SHA256
- 0bcc5819a83a3ad0257a4fe232e7727d2f3d04e6f74c6d0b9e4dfe387af58067
- 274329db2d871d43eed704af632101c6939227d36f4a04229e14603f72be9303
- 4be24d314fc9b2c9f8dbae1c185e2214db0522dcc480ba140657b635745e997b
- 53bad49e755725c8d041dfaa326e705a221cd9ac3ec99292e441decd719b501d
- 7fccb9545a51bb6d40e9c78bf9bc51dc2d2a78a27b81bf1c077eaf405cbba6e9
- 90de01c5ff417f23d7327aed517ff7f285e02dfe5dad475d7f13aced410f1b95
