Los investigadores de ciberseguridad han expuesto una amplia variedad de técnicas adoptadas por un descargador avanzado de malware llamado GuLoader para evadir el software de seguridad.
“La nueva técnica anti-análisis de shellcode intenta frustrar a los investigadores y los entornos hostiles al escanear toda la memoria del proceso en busca de cualquier cadena relacionada con la máquina virtual (VM)”, dijeron los investigadores de CrowdStrike Sarang Sonawane y Donato Onofri en un artículo técnico publicado la semana pasada.
GuLoader, también llamado CloudEyE, es un descargador de Visual Basic Script (VBS) que se utiliza para distribuir troyanos de acceso remoto como Remcos en máquinas infectadas. Se detectó por primera vez en la naturaleza en 2019.
En noviembre de 2021, una cepa de malware JavaScript denominada RATDispenser surgió como un conducto para eliminar GuLoader por medio de un gotero VBScript codificado en Base64.
Se ha descubierto que las muestras recientes de GuLoader desenterradas por CrowdStrike exhiben un proceso de tres etapas en el que VBScript está diseñado para entregar una siguiente etapa que realiza comprobaciones antianálisis antes de inyectar shellcode incrustado en VBScript en la memoria.
El shellcode, además de incorporar los mismos métodos anti-análisis, descarga una carga útil final de la elección del atacante desde un servidor remoto y la ejecuta en el host comprometido.
“El shellcode emplea varios trucos anti-análisis y anti-depuración en cada paso de la ejecución, lanzando un mensaje de error si el shellcode detecta cualquier análisis conocido de los mecanismos de depuración”, señalaron los investigadores.
Esto incluye comprobaciones antidepuración y antidesmontaje para detectar la presencia de depuradores y puntos de interrupción remotos y, si se encuentran, terminar el shellcode. El shellcode también presenta escaneos para software de virtualización.
Una capacidad adicional es lo que la compañía de ciberseguridad llama un “mecanismo de inyección de código redundante” para evitar los ganchos NTDLL.dll implementados por las soluciones de detección y respuesta de puntos finales (EDR).
El enlace de API NTDLL.dll es una técnica utilizada por los motores antimalware para detectar y marcar procesos sospechosos en Windows mediante la supervisión de las API que se sabe que son abusadas por los actores de amenazas.
En pocas palabras, el método implica el uso de instrucciones de ensamblaje para invocar la función API de Windows necesaria para asignar memoria (es decir, NtAllocateVirtualMemory) e inyectar código de shell arbitrario en esa ubicación a través del vaciado del proceso.
Los hallazgos de CrowdStrike también se producen cuando la firma de ciberseguridad Cymulate demostró una técnica de derivación EDR conocida como Blindside que permite ejecutar código arbitrario mediante el uso de puntos de interrupción de hardware para crear un “proceso con solo la NTDLL en un estado independiente y desenganchado”.
“GuLoader sigue siendo una amenaza peligrosa que ha estado evolucionando constantemente con nuevos métodos para evadir la detección”, concluyeron los investigadores.
