Sicherheitsforscher entdeckten eine neue Sandbox-Umgehungstechnik.
API-Hammering genannt, Die Technik beinhaltet die Verwendung einer großen Anzahl von Aufrufen an Windows-APIs, um einen erweiterten Ruhezustand zu erreichen. Letzteres hilft, der Erkennung in Sandbox-Umgebungen zu entgehen. Die Entdeckung stammt von der Einheit von Palo Alto 42 Forscher. Das Team stieß auf Zloader- und BazarLoader-Beispiele, die die besagte API-Hammering-Technik verwendeten.
API-Hämmern: Sandbox-Ausweichtechnik
Was API-Hammering von den üblichen Sandbox-Umgehungstricks unterscheidet, die Malware verwendet?
Viele Malware-Familien verwenden entweder die sogenannte Ping-Sleep-Technik, bei der das Schadprogramm ständig ICMP-Netzwerkpakete in einer Schleife an eine bestimmte IP-Adresse sendet, oder die Windows-API-Funktion namens Sleep. Forscher sagen, dass API-Hammering effizienter ist als diese beiden, da die API-Aufrufe die Ausführung der bösartigen Routinen verzögern, wodurch die Malware während des Sandbox-Analyseprozesses in den Ruhezustand versetzt wird.
Im BazarLoader, Die API-Hammering-Funktion befindet sich im Malware-Packer, Verzögern des Entpackvorgangs der Nutzlast, um der Erkennung zu entgehen. „Ohne Abschluss des Auspackvorgangs, das BazarLoader-Beispiel scheint nur auf zufällige Registrierungsschlüssel zuzugreifen, ein Verhalten, das auch bei vielen legitimen Arten von Software zu beobachten ist," der Bericht sagte.
Letztes Jahr, Sicherheitsforscher haben eine weitere bisher unbekannte Umgehungstechnik beschrieben. Namens Prozess-Ghosting, Die Technik könnte von einem Bedrohungsakteur ausgenutzt werden, um Sicherheitsvorkehrungen zu umgehen und bösartigen Code auf einem Windows-System auszuführen.
Ausführlich von Elastic Security-Forscher Gabriel Landau, die technik ist ein bildmanipulationsangriff, was den früheren Angriffen namens Doppelgänging und Herpaderping etwas ähnlich ist.
„Mit dieser Technik, Ein Angreifer kann eine Malware so auf die Festplatte schreiben, dass es schwierig ist, sie zu scannen oder zu löschen – und dann die gelöschte Malware wie eine normale Datei auf der Festplatte ausführt. Diese Technik beinhaltet keine Codeinjektion, Aushöhlen bearbeiten, oder Transaktions-NTFS (TxF),“ sagte Landau.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: