Des chercheurs en sécurité ont découvert une nouvelle technique d'évasion du bac à sable.
Appelé martelage API, la technique implique l'utilisation d'un grand nombre d'appels aux API Windows pour obtenir une condition de veille prolongée. Ce dernier aide à échapper à la détection dans les environnements sandbox. La découverte vient de l'unité de Palo Alto 42 des chercheurs. L'équipe est tombée sur des échantillons Zloader et BazarLoader qui utilisaient ladite technique de martelage API.
Martelage API: Technique d'évasion du bac à sable
Qu'est-ce qui différencie le martelage d'API des astuces habituelles d'évasion du bac à sable utilisées par les logiciels malveillants?
De nombreuses familles de logiciels malveillants utilisent soit la technique dite Ping Sleep où le programme malveillant envoie constamment des paquets réseau ICMP à une adresse IP particulière en boucle, ou la fonction API Windows appelée Sleep. Les chercheurs disent que le martelage API est plus efficace que ces deux, car les appels d'API retardent l'exécution des routines malveillantes permettant au logiciel malveillant de dormir pendant le processus d'analyse du bac à sable.
Dans BazarLoader, la fonction de martèlement de l'API est située dans le packer de logiciels malveillants, retarder le processus de déballage de la charge utile pour échapper à la détection. "Sans terminer le processus de déballage, l'exemple BazarLoader semblerait simplement accéder à des clés de registre aléatoires, un comportement qui peut également être observé dans de nombreux types de logiciels légitimes," le rapport dit.
L'année dernière, des chercheurs en sécurité ont détaillé une autre technique d'évasion jusque-là inconnue. Appelé Fantôme de processus, la technique pourrait être exploitée par un acteur malveillant pour contourner les protections de sécurité et exécuter du code malveillant sur un système Windows.
Détaillé par Gabriel Landau, chercheur en sécurité élastique, la technique est une attaque de falsification d'image, qui est quelque peu similaire aux attaques précédentes appelées Doppelgänging et Herpaderping.
« Avec cette technique, un attaquant peut écrire un malware sur le disque de manière à ce qu'il soit difficile de l'analyser ou de le supprimer - et où il exécute ensuite le malware supprimé comme s'il s'agissait d'un fichier ordinaire sur le disque. Cette technique n'implique pas d'injection de code, processus de creusement, ou NTFS transactionnel (TxF)," a déclaré Landau.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: