[보안이슈] GuLoader 멀웨어 다운로더의 새로운 탐지 회피 기술 발견
·
일상X사랑X돈/보안이슈
GuLoader 멀웨어 다운로더가 VM의 탐지를 회피하기 위해 사용하는 테크닉을 발견했다. 바로 전체 프로세스 메모리에서 VM 관련 문자열을 스캔하는 것이다. #GuLoader: CloudEyE라고도 불리며, 감염된 시스템에 원격 접근 트로이목마를 배포하는 데 사용되는 VBS(Visual Basic Script) 다운로더. 최근 발견한 GuLoader 샘플을 확인해 보면, VBScript가 스크립트에 포함된 쉘코드를 메모리에 주입하기 전에 안티 분석 검사를 수행한다. 쉘코드는 실행되는 모든 단계에서 여러 안티 분석 및 안티 디버깅 트릭을 사용, 알려진 디버깅 매카니즘 분석 감지 시 오류 메시지를 표시한다. - 원격 디버거 및 브레이크포인트의 존재를 감지하면 쉘코드를 종료하기 위함. - 추가로 가상화 소프..