Sicherheitsforscher entdeckten eine neue Sandbox-Umgehungstechnik.
API-Hammering genannt, Die Technik beinhaltet die Verwendung einer großen Anzahl von Aufrufen an Windows-APIs, um einen erweiterten Ruhezustand zu erreichen. Letzteres hilft, der Erkennung in Sandbox-Umgebungen zu entgehen. Die Entdeckung stammt von der Einheit von Palo Alto 42 Forscher. Das Team stieß auf Zloader- und BazarLoader-Beispiele, die die besagte API-Hammering-Technik verwendeten.
API-Hämmern: Sandbox-Ausweichtechnik
Was API-Hammering von den üblichen Sandbox-Umgehungstricks unterscheidet, die Malware verwendet?
Viele Malware-Familien verwenden entweder die sogenannte Ping-Sleep-Technik, bei der das Schadprogramm ständig ICMP-Netzwerkpakete in einer Schleife an eine bestimmte IP-Adresse sendet, oder die Windows-API-Funktion namens Sleep. Forscher sagen, dass API-Hammering effizienter ist als diese beiden, da die API-Aufrufe die Ausführung der bösartigen Routinen verzögern, wodurch die Malware während des Sandbox-Analyseprozesses in den Ruhezustand versetzt wird.
Im BazarLoader, Die API-Hammering-Funktion befindet sich im Malware-Packer, Verzögern des Entpackvorgangs der Nutzlast, um der Erkennung zu entgehen. „Ohne Abschluss des Auspackvorgangs, das BazarLoader-Beispiel scheint nur auf zufällige Registrierungsschlüssel zuzugreifen, ein Verhalten, das auch bei vielen legitimen Arten von Software zu beobachten ist," der Bericht sagte.
Letztes Jahr, Sicherheitsforscher haben eine weitere bisher unbekannte Umgehungstechnik beschrieben. Namens Prozess-Ghosting, Die Technik könnte von einem Bedrohungsakteur ausgenutzt werden, um Sicherheitsvorkehrungen zu umgehen und bösartigen Code auf einem Windows-System auszuführen.
Ausführlich von Elastic Security-Forscher Gabriel Landau, die technik ist ein bildmanipulationsangriff, was den früheren Angriffen namens Doppelgänging und Herpaderping etwas ähnlich ist.
„Mit dieser Technik, Ein Angreifer kann eine Malware so auf die Festplatte schreiben, dass es schwierig ist, sie zu scannen oder zu löschen – und dann die gelöschte Malware wie eine normale Datei auf der Festplatte ausführt. Diese Technik beinhaltet keine Codeinjektion, Aushöhlen bearbeiten, oder Transaktions-NTFS (TxF),“ sagte Landau.