GuLoader ХОРТОЙ ПРОГРАММ НЬ АЮУЛГҮЙ БАЙДЛЫН ПРОГРАММ ХАНГАМЖААС ЗАЙЛСХИЙХИЙН ТУЛД...

Хэрэглэгч 2022-12-27 11:10:12 Мэдээ

Кибер аюулгүй байдлын судлаачид аюулгүй байдлын программ хангамжаас зайлсхийхийн тулд GuLoader хэмээх дэвшилтэт хортой программ татаж авагчийн ашигласан олон төрлийн арга техникийг илрүүлсэн байна.

CrowdStrike-ийн судлаач Саран Сонаванэ, Донато Онофри нар өнгөрсөн долоо хоногт хэвлэгдсэн техникийн нийтлэлдээ "Шелл кодын эсрэг шинжилгээний шинэ арга нь аливаа виртуал машин (VM)-тай холбоотой мөрүүдийг бүх процессын санах ойг сканнердах замаар судлаачид болон дайсагнасан орчныг саатуулахыг оролддог" хэмээн нийтэлсэн.

2021 оны 11-р сард RATDispenser гэж нэрлэгдсэн JavaScript-н хортой программ нь Base64 кодчилсон VBScript дусаагуураар GuLoader-ийг буулгах зам болж гарч ирэв.

CrowdStrike-ийн саяхан олж илрүүлсэн GuLoader-ийн дээж нь гурван үе шаттай процессыг харуулсан бөгөөд VBScript-д суулгагдсан кодыг санах ойд оруулахаас өмнө шинжилгээний эсрэг шалгалт хийдэг дараагийн үе шатыг дамжуулахад зориулагдсан байна.

Бүрхүүлийн код нь шинжилгээний эсрэг ижил аргуудыг агуулсан байхаас гадна халдагчийн сонгосон эцсийн ачааллыг алсын серверээс татаж аваад, эвдэрсэн хост дээр ажиллуулдаг байна.

"Бүрхүүлгийн код нь гүйцэтгэлийн алхам бүрт дүн шинжилгээ хийх, дибаг хийхээс хамгаалах хэд хэдэн заль мэхийг ашигладаг бөгөөд хэрэв бүрхүүлийн код нь дибаг хийх механизмын мэдэгдэж буй шинжилгээг илрүүлбэл алдааны мессеж илгээдэг" гэж судлаачид онцолжээ.

CrowdStrike-ийн ололт нь кибер аюулгүй байдлын Cymulate фирм Blindside гэгддэг EDR тойрч гарах арга техникийг харуулсан бөгөөд энэ нь техник хангамжийн таслах цэгийг ашиглан дурын кодыг ажиллуулж "дангаараа, залгаагүй төлөвт зөвхөн NTDLL-тэй процесс" үүсгэх боломжийг олгодог.

"GuLoader нь илрүүлэхээс зайлсхийх шинэ аргуудыг байнга хөгжүүлсээр ирсэн аюултай аюул хэвээр байна" гэж судлаачид дүгнэжээ.

Холбоотой нийтлэл

Зөвлөмж