GuLoader obfuszkációs technikái
A Zscaler ThreatLabz technikai elemzésben ismerteti a GuLoader malware loader obfuszkációs technikáit, amelyek célja, hogy nehezítsék a vizsgálatát és elkerüljék a védelmi eszközök felismerését. A GuLoader egy 2019 óta megfigyelt malware-család, amely elsődlegesen más káros szoftvereket, például RAT-okat és információlopó komponenseket juttat el a fertőzött gépekre.
A vizsgálat egyik kulcspontja, hogy a GuLoader dinamikusan építi fel konstans értékeit és karakterláncait futásidőben, így a statikus vizsgálatra épülő aláírások és detektálási mechanizmusok számára is láthatatlan maradnak az értékek addig, amíg a kód fut. Emellett a malware polimorf kódot alkalmaz, ami azt jelenti, hogy a belső struktúrája és bitmintázatai minden példányban eltérőek lehetnek, tovább nehezítve az automatikus detektálást és azonosítást.
Egy másik kihívást okozó módszer a kivétel-alapú vezérlésátirányítás használata. Ahelyett, hogy hagyományos jmp utasításokkal mozgatná a végrehajtást a kódon belül, a GuLoader szándékosan kiváltott CPU-kivételreakciókat, int 3 szoftveres töréspontokat alkalmaz, amelyekhez saját kivételkezelő logika van kapcsolva. Ezután a kezelő határozza meg, hogy hova folytatódjon a végrehajtás, ami egy-egy egyszerű ugrást lényegében egy rejtett, nem közvetlen kódutat vált fel, így a hagyományos analizáló eszközök számára rendkívül nehéz követni a kód futását.
