GuLoader adlı gelişmiş bir kötü amaçlı yazılım indiricisi, yakın zamanda CrowdStrike’daki siber güvenlik araştırmacıları tarafından açığa çıkarıldı. Bu gelişmiş indirici, çeşitli teknikleri benimseyerek güvenlik yazılımının algılanmasından kurtulma yeteneğine sahiptir.
GuLoader’ın kabuk kodunu analiz ederken, CrowdStrike tarafından araştırmacıların kötü amaçlı yazılımın düşmanca bir ortamda çalışıp çalışmadığını belirleyebileceği yepyeni bir anti-analiz tekniği keşfedildi. Bu, VM ile ilgili tüm diziler için tüm işlem belleğini inceleyerek yapılır.
GuLoader Kötü Amaçlı Yazılımının Evrimi
GuLoader (diğer adıyla CloudEyE), virüslü makinelerde VBS indiricisini kullanarak AgentTesla, FormBook, Nanocore, NETWIRE, Remcos ve Parallax RAT gibi uzaktan erişim truva atlarını dağıtır.
GuLoader en az 2019’dan beri aktiftir ve işlevselliğinde ve dağıtım yöntemlerinde çeşitli değişikliklere uğramıştır. Zamanla, kötü amaçlı yazılım, tespit edilmekten kaçınmak ve virüslü sistemlerden kaldırılmaktan kaçınmak için çeşitli yöntemler kullanarak daha karmaşık hale geldi.
Ayrıca, yararlanma kitleri ve saldırıya uğramış web siteleri gibi diğer kanallar aracılığıyla da dağıtılmıştır. Zaman içinde gelişmiş ve çeşitli kampanyalarda fidye yazılımı, bankacılık Truva Atları ve diğer kötü amaçlı yazılım türleri dahil olmak üzere çeşitli kötü amaçlı yazılımları dağıtmak için kullanılmış olsa da.
GuLoader tarafından tespit edilmemek ve tespit edilmekten kaçınmak için güçlü bir anti-analiz tekniği de uygulandı.
GuLoader üç aşamalı bir süreç sergiler, VBScript betiği önce içine gömülü olan kabuk kodunu belleğe enjekte eder, ardından sürecin bir sonraki aşaması, kodu analiz edilmekten koruyacak anti-analiz kontrollerini yürütür.
Ayrıca, kabuk kodu, üçüncü şahıslar tarafından tespit edilmekten kaçınmak için aynı anti-analiz yöntemlerini de içerir. Bir saldırgan, bu kabuk kodu aracılığıyla kendi seçtikleri son bir yükü indirebilir ve güvenliği ihlal edilen ana bilgisayardaki orijinal kabuk koduyla aynı anti-analiz yöntemleriyle çalıştırabilir.
Kod analizi için kullanılan kesme noktalarının tespiti, kötü amaçlı yazılımdaki hata ayıklamayı önleme ve parçalarına ayırmayı önleme kontrolleri ile yapılır.
Antivirüs programları ve EDR’ler tarafından yaygın olarak kullanılan bir NTDLL.dll kancasının kullanımını önlemek için kullanılabilecek bir yedekli kod enjeksiyon mekanizması da vardır.
Kötü amaçlı yazılımdan koruma motorları, Windows’ta şüpheli olabilecek işlemleri algılamak ve işaretlemek için NTDLL.dll API kancasını kullanır.
Anti-Analiz Teknikleri
Aşağıda kullanılan anti-analiz tekniklerinden bahsetmiştik:-
- Hata Ayıklamayı Önleme
- Anti-Sanal Makine
- İşlem Boşaltma
Uzmanlar, GuLoader’ın gelişmeye devam ederken sürekli gelişen hain bir tehdit olmaya devam ettiğine dikkat çekti. Ayrıca uzmanlar, indiricinin en son sürümü ve diğer önemli bilgiler için uzlaşma göstergeleri de sağladı.
Uygulamalar için Yönetilen DDoS Saldırı Koruması – Ücretsiz Kılavuzu İndirin