GuLoader 멀웨어 다운로더가 VM의 탐지를 회피하기 위해 사용하는 테크닉을 발견했다.
바로 전체 프로세스 메모리에서 VM 관련 문자열을 스캔하는 것이다.
#GuLoader: CloudEyE라고도 불리며, 감염된 시스템에 원격 접근 트로이목마를 배포하는 데 사용되는 VBS(Visual Basic Script) 다운로더.
최근 발견한 GuLoader 샘플을 확인해 보면, VBScript가 스크립트에 포함된 쉘코드를 메모리에 주입하기 전에 안티 분석 검사를 수행한다.
쉘코드는 실행되는 모든 단계에서 여러 안티 분석 및 안티 디버깅 트릭을 사용, 알려진 디버깅 매카니즘 분석 감지 시 오류 메시지를 표시한다.
- 원격 디버거 및 브레이크포인트의 존재를 감지하면 쉘코드를 종료하기 위함.
- 추가로 가상화 소프트웨어 스캔 진행
아무튼 GuLoader가 탐지를 회피하기 위해 새로운 방법을 사용하여 지속적으로 진화하고 있다는 이야기.
'일상X사랑X돈 > 보안이슈' 카테고리의 다른 글
| [보안이슈] XLL 파일 이용한 APT 공격이 증가하는 추세 (0) | 2022.12.29 |
|---|---|
| [보안이슈] 차량을 훔친 해킹범 살해한 30대 여성, 한국산 자동차 해킹 쉬워.. (0) | 2022.12.28 |
| [보안이슈] 컨테이너 환경에서 악성 이미지 우회 가능한 취약점 발견 (0) | 2022.12.26 |
| [보안이슈] Ghost CMS 뉴스레터 구독 시스템에서 인증 우회 취약점 발견 (0) | 2022.12.23 |
| [보안이슈] 멀웨어가 보안 검사를 우회하도록 하는 macOS 버그 발견. (0) | 2022.12.21 |