มัลแวร์ GuLoader ใช้เทคนิคใหม่ในการหลบเลี่ยงการตรวจจับจาก Security Software

นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก CrowdStrike ออกมาเปิดเผยการค้นพบเทคนิคใหม่ในชื่อ “Blindside” ซึ่งถูกใช้โดยมัลแวร์ที่มีชื่อว่า GuLoader ซึ่งสามารถหลีกเลี่ยงการตรวจจับ (Defense Evasion) จาก Security Software ได้

GuLoader หรือ CloudEyE เป็น Visual Basic Script (VBS) downloader ที่ถูกใช้เพื่อแพร่กระจายโทรจันที่ถูกควบคุมจากระยะไกล (Remote Access Trojans RAT) ในชื่อ Remcos รวมไปถึง JavaScript malware ที่มีชื่อว่า RATDispenser

วิธีการโจมตี

โดย Visual Basic Script (VBS) ที่ถูกออกแบบมาของ GuLoader จะเรียกใช้ shellcode ที่ฝังมาลงในหน่วยความจำบนเครื่องเหยื่อหลังจากผ่านกระบวนการตรวจสอบ และหลีกเลี่ยงการตรวจจับดังนี้

ทำการสแกนหน่วยความจำของค่าสตริงที่เกี่ยวข้องกับ virtual machine (VM) / virtualization software หากพบจะหยุดการทำงานของ shellcode
หลบหลีกการวิเคราะห์ และป้องกันการ debug ในระหว่างการดำเนินการ โดยจะแสดงข้อความ error message หากพบว่ากำลังถูกตรวจสอบ

จากนั้นจึงจะทำการดาวน์โหลด payload การติดตั้งโทรจันที่สามารถใช้ควบคุม สั่งการเครื่องเหยื่อจากระยะไกล (Remote Access Trojans RAT) เพื่อให้ Hacker สามารถโจมตี และสั่งการได้จากระยะไกลได้

รวมถึง CrowdStrike ยังพบว่า GuLoader ได้ใช้เทคนิคใหม่ที่เรียกว่า "Redundant Code Injection Mechanism" หรือที่ถูกเรียกในชื่อ “Blindside” เพื่อหลีกเลี่ยง NTDLL.dll hooking ซึ่งเป็นเทคนิคที่ endpoint detection and response (EDR) ใช้ในการตรวจับ process ที่น่าสงสัยบน Windows โดยการตรวจสอบจาก windows API

ซึ่ง Cymulate บริษัทด้านความปลอดภัยทางไซเบอร์ได้เผยแพร่ตัวอย่างการโจมตี (PoC) ออกมาแล้วในปัจจุบัน

ที่มา : thehackernews

เทคนิค “BlindSide” รูปแบบใหม่ใช้ความสามารถที่ช่วยเพิ่มประสิทธิภาพ CPU หลบหลีกการป้องกันของ OS

นักวิจัยจาก Stevens Institute of Technology ในรัฐนิวเจอร์ซีย์, ETH Zurich และมหาวิทยาลัย Vrije ในอัมสเตอร์ดัม ได้เผยเเพร่การพัฒนาเทคนิคใหม่สำหรับการโจมตีระบบคอมพิวเตอร์โดยใช้ Speculative execution ที่จะใช้สำหรับการเพิ่มประสิทธิภาพของ CPU เพื่อทำการสร้างช่องโหว่การ Bypass ASLR (Address Space Layout Randomization) โดยเทคนิคที่ถูกเเผยเเพร่นี้ถูกเรียกว่า “BlindSide”

เทคนิค “BlindSide” นั้นเกิดจากคุณลักษณะของ Speculative execution ที่ช่วยเพิ่มประสิทธิภาพของการโปรเซสเซอร์ใน CPU ซึ่งจะดำเนินการคำนวนล่วงหน้าและควบคู่ไปกับเธรดการคำนวณหลักเมื่อเธรดของ CPU หลักถึงจุดที่กำหนด Speculative execution จะนำค่าที่คำนวณแล้วและไปยัง task ถัดไปซึ่งเป็นกระบวนการที่ส่งผลให้การดำเนินการคำนวณเร็วขึ้น ค่าทั้งหมดที่คำนวณระหว่างการดำเนินการแบบ Speculative execution จะถูกละทิ้งโดยไม่ส่งผลกระทบต่อระบบปฏิบัติการ ซึ่งถ้าหากผู้โจมตีรู้ว่าแอปเรียกใช้โค้ดภายในหน่วยความจำที่ใดผู้โจมตีสามารถปรับแต่งช่องโหว่ที่ใช้โจมตีแอปพลิเคชันโดยเฉพาะและจะสามารถทำการขโมยข้อมูลที่ละเอียดอ่อนได้

นักวิจัยกล่าวว่าการโจมตีด้วยเทคนิค "BlindSide" นั้นสามารถทำงานได้โดยไม่คำนึงถึงสถาปัตยกรรม ซึ่งนักวิจัยได้ทำการทดสอบแล้วบน CPU ทั้ง Intel และ AMD นอกจากนี้การโจมตีแบบ BlindSide ยังทำงานได้แม้จะมีจะมีผู้ผลิตพยายามเพิ่มการป้องกันเทคนิค speculative execution attack เช่นเดียวกับ Spectre และ Meltdown ไปแล้ว

ทั้งนี้ผู้ที่สนใจรายละเอียดของเทคนิคสามารถอ่านรายละเอียดเพิ่มเติมได้ที่: vusec

ที่มา: ZDnet