I ricercatori di sicurezza informatica hanno esposto l’ampia varietà di tecniche utilizzate da un nuovo downloader di malware avanzato, chiamato GuLoader, per eludere i vari sistemi di sicurezza software (antivirus, antimalware, etc.).
Quale tecnica di “elusione” usa il malware GuLoader?
“La nuova tecnica [che usa questo malware] che evita l’analisi dello shellcode, tenta di ostacolare i ricercatori e gli ambienti ostili [ad esempio antivirus] scansionando l’intera memoria del processo di ricerca di una qualsiasi stringa relativa alla macchina virtuale (VM)“, hanno detto i ricercatori di CrowdStrike Sarang Sonawane e Donato Onofri in un articolo da loro pubblicato la scorsa settimana.
GuLoader, detto anche CloudEyE, è un downloader di Visual Basic Script (VBS) utilizzato per distribuire trojan che servono per l’accesso remoto su macchine infette; questa minaccia informatica è stata rilevata per la prima volta all’interno del “selvaggio mondo di internet” nel 2019.
A novembre 2021, un ceppo di malware JavaScript soprannominato RATDispenser è letteralmente apparso dal nulla come una sorta di tramite, il quale scopo era quello di distribuire GuLoader tramite un dropper VBScript con codifica Base64.
Un recente esempio di GuLoader portato alla luce da CrowdStrike mostra un processo in tre fasi nel quale viene mostrato che il VBScript in questione è stato progettato per fornire una fase successiva che esegue controlli anti-analisi prima di iniettare nella memoria lo shellcode incorporato nel VBScript.
Lo shellcode, oltre a incorporare gli stessi metodi anti-analisi, scarica un payload a scelta da parte dell’”aggressore” informatico da un server remoto e lo esegue sul dispositivo compromesso.
“Lo shellcode impiega diversi trucchi anti-analisi e anti-debug in ogni fase dell’esecuzione, lanciando un messaggio di errore se lo shellcode rileva qualsiasi analisi nota dei meccanismi di debug“, hanno sottolineato i ricercatori.
Ciò include, pertanto, controlli anti-debug e anti-disassembling per rilevare la presenza di un debugger remoto e punti di interruzione (interrupt) e, qualora questi punti fossero rilevati, terminare lo shellcode; lo shellcode presenta anche scansioni per il software di virtualizzazione (macchine virtuali, come ad esempio VirtualBox di Oracle).
Una funzione aggiuntiva di questo malware, GuLoader, che la società di sicurezza informatica ha documentato come un “meccanismo di iniezione di codice ridondante“, consiste nell’evitare gli hook del file NTDLL.dll, implementati dalle soluzioni di rilevamento e risposta degli endpoint (EDR).
L’hook dell’API NTDLL.dll è una tecnica utilizzata dai motori anti-malware per rilevare e contrassegnare i processi sospetti su Windows monitorando le API note per essere oggetto di abusi da parte di malintenzionati informatici.
Sintetizzando all’osso: il metodo prevede l’utilizzo di istruzioni di linguaggio Assembly per richiamare la funzione API di Windows necessaria per allocare la memoria (ad esempio, NtAllocateVirtualMemory) e iniettare codice shellcode pericoloso nella memoria tramite svuotamento del processo (svuotando la memoria cache, in sostanza).
I risultati dei ricercatori di CrowdStrike arrivano a seguito della scoperta della società di sicurezza informatica Cymulate ha dimostrato che l’utilizzo di una particolare tecnica di bypass EDR nota come Blindside consente di eseguire codice malevolo utilizzando punti di interrupt hardware per creare un “processo con solo la NTDLL in uno stato autonomo e dislocato“.
“GuLoader rimane una minaccia pericolosa che si è costantemente evoluta con nuovi metodi per eludere il rilevamento“, hanno concluso i ricercatori.
Cosa fare qualora si incappasse in questa minaccia informatica
Come detto sopra, GuLoader riesce ad evitare i controlli, quindi anche antivirus ed antimalware buoni, come Malwarebytes, potrebbero non essere in grado di rilevarlo.
File DLL vuol dire Windows, pertanto sono gli utenti Windows quelli che devono prestare attenzione.
Valgono sempre le regole di prestare attenzione alle mail ingannevoli e alle abitudini di navigazione, soprattutto in siti strani nei quali non sei sicuro cosa circoli; purtroppo nemmeno piattaforma legittime come Github si sono dimostrate “sicure” alla lunga.
Un metodo per poterlo rilevare per contro proprio potrebbe essere quello di controllare la gestione attività di Windows e vedere se c’è qualche processo anomalo per disattivarlo; se si è fortunati forse appare una voce da disinstallare nel menù dei programmi di disinstallazione di Windows (ma è improbabile, purtroppo).
C’è da dire che questo è un malware che scarica altri malware, forse gli altri possono essere rilevati addirittura da Windows defender, ma lui che è “la formica regina”, potrebbe volerci del tempo prima che le software house produttori di antivirus e antimalware, riescano ad aggirare il fatto che si nasconde ai rilevamenti.
Nella migliore delle ipotesi, forse un ripristino ad una sessione recente di Windows potrebbe risolvere il problema, nella peggiore delle ipotesi, ovverosia i danni di GuLoader non sono più sistemabili, purtroppo potrebbe essere necessario reinstallare il sistema operativo daccapo con un’installazione pulita.
————-
Contenuto pubblicato su tech.icrewplay.com Read More