• Dragon Ball
  • Obey Me
  • How I Met Your Mother
  • Harry Potter
  • saint seiya
  • robot aspirapovere
  • truffe
  • phishing
Tech News, Magazine & Review WordPress Theme 2017
  • Notizie
  • Videogiochi
  • Cinema
  • Anime
  • Sport
  • Libri
  • Tecnologia
    • Scienza
No Result
View All Result
  • Notizie
  • Videogiochi
  • Cinema
  • Anime
  • Sport
  • Libri
  • Tecnologia
    • Scienza
No Result
View All Result
PlayTalk.it
No Result
View All Result
Home News

GuLoader: malware che utilizza nuove tecniche per eludere il software di sicurezza

by
Dicembre 26, 2022
1
GuLoader: malware che utilizza nuove tecniche per eludere il software di sicurezza
ADVERTISEMENT
Condividi su FacebookCondividi su TwitterCondividi su Telegram

I ricercatori di sicurezza informatica hanno esposto l’ampia varietà di tecniche utilizzate da un nuovo downloader di malware avanzato, chiamato GuLoader, per eludere i vari sistemi di sicurezza software (antivirus, antimalware, etc.).

Quale tecnica di “elusione” usa il malware GuLoader?

“La nuova tecnica [che usa questo malware] che evita l’analisi dello shellcode, tenta di ostacolare i ricercatori e gli ambienti ostili [ad esempio antivirus] scansionando l’intera memoria del processo di ricerca di una qualsiasi stringa relativa alla macchina virtuale (VM)“, hanno detto i ricercatori di CrowdStrike Sarang Sonawane e Donato Onofri in un articolo da loro pubblicato la scorsa settimana.

GuLoader, detto anche CloudEyE, è un downloader di Visual Basic Script (VBS) utilizzato per distribuire trojan che servono per l’accesso remoto su macchine infette; questa minaccia informatica è stata rilevata per la prima volta all’interno del “selvaggio mondo di internet” nel 2019.

ADVERTISEMENT

A novembre 2021, un ceppo di malware JavaScript soprannominato RATDispenser è letteralmente apparso dal nulla come una sorta di tramite, il quale scopo era quello di distribuire GuLoader tramite un dropper VBScript con codifica Base64.

Un recente esempio di GuLoader portato alla luce da CrowdStrike mostra un processo in tre fasi nel quale viene mostrato che il VBScript in questione è stato progettato per fornire una fase successiva che esegue controlli anti-analisi prima di iniettare nella memoria lo shellcode incorporato nel VBScript.

Lo shellcode, oltre a incorporare gli stessi metodi anti-analisi, scarica un payload a scelta da parte dell’”aggressore” informatico da un server remoto e lo esegue sul dispositivo compromesso.

“Lo shellcode impiega diversi trucchi anti-analisi e anti-debug in ogni fase dell’esecuzione, lanciando un messaggio di errore se lo shellcode rileva qualsiasi analisi nota dei meccanismi di debug“, hanno sottolineato i ricercatori.

ADVERTISEMENT

Ciò include, pertanto, controlli anti-debug e anti-disassembling per rilevare la presenza di un debugger remoto e punti di interruzione (interrupt) e, qualora questi punti fossero rilevati, terminare lo shellcode; lo shellcode presenta anche scansioni per il software di virtualizzazione (macchine virtuali, come ad esempio VirtualBox di Oracle).

Una funzione aggiuntiva di questo malware, GuLoader, che la società di sicurezza informatica ha documentato come un “meccanismo di iniezione di codice ridondante“, consiste nell’evitare gli hook del file NTDLL.dll, implementati dalle soluzioni di rilevamento e risposta degli endpoint (EDR).

L’hook dell’API NTDLL.dll è una tecnica utilizzata dai motori anti-malware per rilevare e contrassegnare i processi sospetti su Windows monitorando le API note per essere oggetto di abusi da parte di malintenzionati informatici.

Sintetizzando all’osso: il metodo prevede l’utilizzo di istruzioni di linguaggio Assembly per richiamare la funzione API di Windows necessaria per allocare la memoria (ad esempio, NtAllocateVirtualMemory) e iniettare codice shellcode pericoloso nella memoria tramite svuotamento del processo (svuotando la memoria cache, in sostanza).

I risultati dei ricercatori di CrowdStrike arrivano a seguito della scoperta della società di sicurezza informatica Cymulate ha dimostrato che l’utilizzo di una particolare tecnica di bypass EDR nota come Blindside consente di eseguire codice malevolo utilizzando punti di interrupt hardware per creare un “processo con solo la NTDLL in uno stato autonomo e dislocato“.

“GuLoader rimane una minaccia pericolosa che si è costantemente evoluta con nuovi metodi per eludere il rilevamento“, hanno concluso i ricercatori.

Cosa fare qualora si incappasse in questa minaccia informatica

Come detto sopra, GuLoader riesce ad evitare i controlli, quindi anche antivirus ed antimalware buoni, come Malwarebytes, potrebbero non essere in grado di rilevarlo.

ADVERTISEMENT

File DLL vuol dire Windows, pertanto sono gli utenti Windows quelli che devono prestare attenzione.

Valgono sempre le regole di prestare attenzione alle mail ingannevoli e alle abitudini di navigazione, soprattutto in siti strani nei quali non sei sicuro cosa circoli; purtroppo nemmeno piattaforma legittime come Github si sono dimostrate “sicure” alla lunga.

Un metodo per poterlo rilevare per contro proprio potrebbe essere quello di controllare la gestione attività di Windows e vedere se c’è qualche processo anomalo per disattivarlo; se si è fortunati forse appare una voce da disinstallare nel menù dei programmi di disinstallazione di Windows (ma è improbabile, purtroppo).

C’è da dire che questo è un malware che scarica altri malware, forse gli altri possono essere rilevati addirittura da Windows defender, ma lui che è “la formica regina”, potrebbe volerci del tempo prima che le software house produttori di antivirus e antimalware, riescano ad aggirare il fatto che si nasconde ai rilevamenti.

Nella migliore delle ipotesi, forse un ripristino ad una sessione recente di Windows potrebbe risolvere il problema, nella peggiore delle ipotesi, ovverosia i danni di GuLoader non sono più sistemabili, purtroppo potrebbe essere necessario reinstallare il sistema operativo daccapo con un’installazione pulita.

————-

Contenuto pubblicato su tech.icrewplay.com Read More

Lascia un commento Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

ADVERTISEMENT
PlayTalk.it

Copyright © Alpha Unity - testata giornalistica registrata presso il Tribunale di Roma n. 75 del 26/07/2017. Tutti i diritti riservati.

  • Lavora con noi
  • Privacy Policy
  • Advertising
  • Contact

Seguici

No Result
View All Result
  • Ultime notizie
  • Videogiochi
  • Recensioni
  • Cinema
  • Sport
  • Anime
  • Libri
  • Tecnologia
  • Scienza

Copyright © Alpha Unity - testata giornalistica registrata presso il Tribunale di Roma n. 75 del 26/07/2017. Tutti i diritti riservati.

Welcome Back!

Login to your account below

Forgotten Password? Sign Up

Create New Account!

Sign Up with Facebook
OR

Fill the forms below to register

All fields are required. Log In

Retrieve your password

Please enter your username or email address to reset your password.

Log In
Generated by Feedzy