Investigadores de seguridad descubrieron una nueva técnica de evasión de sandbox.
Llamado martillo API, la técnica implica el uso de una gran cantidad de llamadas a las API de Windows para lograr una condición de suspensión extendida. Este último ayuda a evadir la detección en entornos de sandbox.. El hallazgo proviene de la Unidad de Palo Alto 42 investigadores. El equipo encontró muestras de Zloader y BazarLoader que usaban dicha técnica de martillado API.
Martillado API: Técnica de evasión de caja de arena
¿Qué hace que el martilleo de API sea diferente de los trucos habituales de evasión de sandbox que utiliza el malware??
Muchas familias de malware utilizan la técnica denominada Ping Sleep, en la que el programa malicioso envía constantemente paquetes de red ICMP a una dirección IP particular en un bucle., o la función API de Windows llamada Sleep. Los investigadores dicen que el martilleo API es más eficiente que estos dos, ya que las llamadas a la API retrasan la ejecución de las rutinas maliciosas, lo que permite que el malware duerma durante el proceso de análisis de la zona de pruebas.
En BazarCargador, la función de martillo API se encuentra en el empaquetador de malware, retrasar el proceso de desempaquetado de la carga útil para evadir la detección. “Sin completar el proceso de desembalaje, la muestra de BazarLoader parecería estar simplemente accediendo a claves de registro aleatorias, un comportamiento que también se puede ver en muchos tipos legítimos de software," el informe dijo.
El año pasado, los investigadores de seguridad detallaron otra técnica de evasión previamente desconocida. Llamado Procesar imagen fantasma, La técnica podría ser aprovechada por un actor de amenazas para eludir las protecciones de seguridad y ejecutar código malicioso en un sistema Windows..
Detallado por el investigador de Elastic Security Gabriel Landau, la técnica es un ataque de manipulación de imágenes, que es algo similar a los ataques anteriores llamados Doppelgänging y Herpaderping.
“Con esta técnica, un atacante puede escribir una pieza de malware en el disco de tal manera que sea difícil de escanear o eliminar, y donde luego ejecuta el malware eliminado como si fuera un archivo normal en el disco. Esta técnica no implica la inyección de código., proceso de vaciado, o NTFS transaccional (TxF),"Landau dijo.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: