СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
09.06.2025
#Dev#ИБ

Глубокий анализ GuLoader: современные методы обхода защиты

Глубокий анализ GuLoader: современные методы обхода защиты

Источник: www.sonicwall.com

Команда исследователей угроз SonicWall Capture Labs представила подробный анализ вредоносного ПО GuLoader — сложного дроппера и инфокрадщика, который демонстрирует множество передовых хакерских техник. Этот инструмент активно применяется злоумышленниками для сбора учетных данных, обхода антивирусного обнаружения и обеспечения долговременного присутствия в заражённых системах.

Особенности работы GuLoader

GuLoader отличается комплексным подходом к сохранению и восстановлению своей активности. Среди его ключевых методик — удаление определённых файлов, выполняющих функции таймеров и «канареек», сигнализирующих о возможной детекции вредоносной программы.

Основным объектом анализа стал установочный пакет NSIS, который сопровождается цифровым сертификатом с истёкшим сроком действия, выписанным на имя «Slot», а также содержит вымышленный адрес электронной почты. В составе пакета обнаружен важный DLL-файл «System.dll», играющий роль разведчика для GuLoader во время выполнения.

Механизмы обфускации и загрузки

При запуске установка GuLoader выполняет удаление нескольких файлов по заранее определённым путям. Для усиления методов обфускации вредоносная программа использует динамические вызовы API и специальные техники загрузки библиотек.

  • Загружаемые библиотеки включают propsys.dll, uxtheme.dll и clbcatq.dll.
  • Для этого применяется модифицированный путь поиска с использованием функции, известной как sub_406877.

Главный исполняемый файл, на который приходится основное внимание, идентифицирован как «Harmin.For». Однако GuLoader получает доступ только к нулевым байтам этого файла, что свидетельствует о возможных изменениях поведения при загрузке дополнительного полезного ПО. Несмотря на это, текущий анализ не выявил значимых модификаций.

Скрытые возможности и адаптивность

Значительная часть функций GuLoader скрыта благодаря использованию временных файлов — вредоносное ПО читает байты из таких файлов и затем сразу же удаляет их содержимое. Эта стратегия позволяет выполнять разнообразные задачи, зависящие от данных, поступающих от дополнительных полезных нагрузок.

Исследователи подчеркивают, что GuLoader представляет собой универсальную и адаптивную угрозу, способную не только сохранять свою позицию в инфицированной системе, но и динамически развивать тактику в ответ на условия окружения.

Выводы

GuLoader подтверждает тенденцию к усложнению вредоносных программ: многоуровневая защита, обфускация, использование временных файлов и динамичная загрузка библиотек делают его серьёзным вызовом для современных систем кибербезопасности. Для эффективного обнаружения и нейтрализации подобных угроз необходим комплексный подход, включающий постоянный мониторинг и анализ поведения вредоносного ПО.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: