I ricercatori della sicurezza hanno scoperto una nuova tecnica di evasione sandbox.
Chiamato martellamento API, la tecnica prevede l'uso di un gran numero di chiamate alle API di Windows per ottenere una condizione di sospensione estesa. Quest'ultimo aiuta a eludere il rilevamento negli ambienti sandbox. La scoperta arriva dall'Unità di Palo Alto 42 ricercatori. Il team si è imbattuto in campioni Zloader e BazarLoader che utilizzavano la suddetta tecnica di martellamento API.
Martellamento API: Tecnica di evasione sandbox
Ciò che rende il martello delle API diverso dai soliti trucchi di evasione sandbox utilizzati dal malware?
Molte famiglie di malware utilizzano la cosiddetta tecnica Ping Sleep in cui il programma dannoso invia costantemente pacchetti di rete ICMP a un particolare indirizzo IP in un ciclo, o la funzione API di Windows chiamata Sospensione. I ricercatori affermano che il martellamento dell'API è più efficiente di questi due, poiché le chiamate API ritardano l'esecuzione delle routine dannose consentendo al malware di dormire durante il processo di analisi sandbox.
In Bazar Loader, la funzione di martellamento dell'API si trova nel pacchetto di malware, ritardando il processo di disimballaggio del carico utile per eludere il rilevamento. “Senza completare il processo di disimballaggio, l'esempio BazarLoader sembrerebbe accedere solo a chiavi di registro casuali, un comportamento che può essere visto anche in molti tipi legittimi di software," il rapporto disse.
L'anno scorso, i ricercatori della sicurezza hanno descritto in dettaglio un'altra tecnica di evasione precedentemente sconosciuta. Chiamato Processo fantasma, la tecnica potrebbe essere sfruttata da un attore di minacce per aggirare le protezioni di sicurezza ed eseguire codice dannoso su un sistema Windows.
Dettagliato dal ricercatore di Elastic Security Gabriel Landau, la tecnica è un attacco di manomissione dell'immagine, che è in qualche modo simile ai precedenti attacchi chiamati Doppelgänging e Herpaderping.
“Con questa tecnica, un utente malintenzionato può scrivere un malware su disco in modo tale che sia difficile scansionarlo o eliminarlo e dove quindi esegue il malware eliminato come se fosse un normale file su disco. Questa tecnica non prevede l'iniezione di codice, processo di svuotamento, o NTFS transazionale (TxF),"Ha detto Landau.