Des chercheurs en cybersécurité ont révélé un large éventail de stratégies utilisées par le téléchargeur de logiciels malveillants sophistiqués GuLoader pour contourner les mesures de protection.

Les chercheurs de CrowdStrike, Sarang Sonawane et Donato Onofri, ont déclaré qu'une nouvelle stratégie anti-analyse de shellcode "tente de déjouer les chercheurs et les environnements hostiles en analysant toute la mémoire du processus à la recherche de toute chaîne liée à la machine virtuelle (VM)."

Les échantillons récents de GuLoader découverts par CrowdStrike ont été déterminés comme présentant une procédure en trois étapes, le VBScript étant conçu pour délivrer la deuxième étape, qui effectue des contrôles anti-analyse avant d'injecter en mémoire le shellcode caché dans le VBScript.

En plus d'utiliser les mêmes techniques d'anti-analyse, le shellcode télécharge la charge utile finale préférée de l'attaquant depuis un serveur distant et l'exécute sur la machine infectée.

Les chercheurs ont noté que le shellcode utilise un certain nombre de techniques d'anti-analyse et d'anti-débogage à chaque étape de l'exécution, en envoyant un message d'erreur s'il découvre des outils d'analyse ou de débogage connus.

Les contrôles anti-débogage et anti-désassemblage font partie de ces techniques pour rechercher des points d'arrêt et des débogueurs distants et, s'ils le sont, mettre fin au shellcode. En outre, le shellcode vérifie la présence de logiciels de virtualisation.

En résumé, la technique consiste à injecter un shellcode arbitraire à cet endroit en utilisant l'évidement du processus après avoir utilisé des instructions d'assemblage pour appeler la fonction API Windows pertinente afin d'allouer de la mémoire (NtAllocateVirtualMemory).

Les révélations de CrowdStrike sont intervenues au moment où la société de cybersécurité Cymulate a présenté une méthode de contournement de l'EDR, appelée Blindside, qui permet l'exécution de code arbitraire en utilisant des points d'arrêt matériels pour établir un "processus avec uniquement la NTDLL dans un état autonome et décroché".

Les chercheurs ont déclaré que GuLoader "reste une menace dangereuse qui évolue constamment avec de nouvelles stratégies pour échapper à la détection".