Sikkerhedsforskere opdagede en ny sandkasseunddragelsesteknik.
Kaldes API hammering, teknikken involverer brugen af et stort antal kald til Windows API'er for at opnå en udvidet søvntilstand. Sidstnævnte hjælper med at undgå registrering i sandkassemiljøer. Opdagelsen kommer fra Palo Altos enhed 42 forskere. Holdet stødte på Zloader og BazarLoader prøver, der brugte den nævnte API hammering teknik.
API-hamring: Sandkasseundvigelsesteknik
Hvad gør API-hamring anderledes end de sædvanlige sandkasseunddragelsestricks, som malware bruger?
Mange malware-familier bruger enten den såkaldte Ping Sleep-teknik, hvor det ondsindede program konstant sender ICMP-netværkspakker til en bestemt IP-adresse i en løkke, eller Windows API-funktionen kaldet Sleep. Forskere siger, at API-hammering er mere effektiv end disse to, da API-kaldene forsinker udførelsen af de ondsindede rutiner, hvilket tillader malwaren at sove under sandkasseanalyseprocessen.
I BazarLoader, API-hammer-funktionen er placeret i malware-pakkeren, forsinke udpakningsprocessen for nyttelast for at undgå registrering. "Uden at fuldføre udpakningsprocessen, BazarLoader-eksemplet ser ud til kun at få adgang til tilfældige registreringsnøgler, en adfærd, der også kan ses i mange legitime typer software," rapporten sagde.
Sidste år, sikkerhedsforskere detaljerede en anden hidtil ukendt unddragelsesteknik. Hedder Process Ghosting, teknikken kunne udnyttes af en trusselsaktør til at omgå sikkerhedsbeskyttelse og køre ondsindet kode på et Windows-system.
Detaljeret af elastisk sikkerhedsforsker Gabriel Landau, teknikken er et billed manipulationsangreb, hvilket svarer til tidligere angreb kaldet Doppelgänging og Herpaderping.
”Med denne teknik, en hacker kan skrive et stykke malware til disken på en sådan måde, at det er svært at scanne eller slette det - og hvor det derefter udfører den slettede malware, som om det var en almindelig fil på disken. Denne teknik involverer ikke kodeinjektion, udhulningsproces, eller Transaktionel NTFS (TxF),”Sagde Landau.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: