人気のマルウェアで使用されるAPIハンマーサンドボックス回避手法

セキュリティ研究者は、新しいサンドボックス回避技術を発見しました.

APIハンマーと呼ばれる, この手法では、Windows APIへの多数の呼び出しを使用して、拡張スリープ状態を実現します。. 後者は、サンドボックス環境での検出を回避するのに役立ちます. 発見はパロアルトのユニットから来ています 42 研究者. チームは、前述のAPIハンマー技術を使用したZloaderとBazarLoaderのサンプルに出くわしました.

APIハンマー: サンドボックス回避テクニック

APIハンマーが、マルウェアが利用する通常のサンドボックス回避トリックと異なる点?

多くのマルウェアファミリは、悪意のあるプログラムがループ内の特定のIPアドレスにICMPネットワークパケットを絶えず送信する、いわゆるPingSleep技術のいずれかを利用しています。, またはSleepと呼ばれるWindowsAPI関数. 研究者は、APIハンマーはこれら2つよりも効率的であると言います, API呼び出しが悪意のあるルーチンの実行を遅らせるため、サンドボックス分析プロセス中にマルウェアがスリープ状態になります.

BazarLoaderで, APIハンマー機能はマルウェアパッカーにあります, 検出を回避するためにペイロードの解凍プロセスを遅らせる. 「開梱プロセスを完了せずに, BazarLoaderサンプルは、ランダムなレジストリキーにアクセスしているように見えます, 多くの正当なタイプのソフトウェアでも見られる動作," レポート 言った.

去年, セキュリティ研究者は、これまで知られていなかった別の回避手法について詳しく説明しました. と呼ばれる プロセスゴースト, この手法は、セキュリティ保護を回避し、Windowsシステムで悪意のあるコードを実行するために脅威アクターによって悪用される可能性があります.

ElasticSecurityの研究者GabrielLandauによる詳細, テクニックは画像改ざん攻撃です, これは、DoppelgängingおよびHerpaderpingと呼ばれる以前の攻撃にいくぶん似ています.

「このテクニックで, 攻撃者は、スキャンや削除が困難な方法でマルウェアをディスクに書き込むことができます。その後、削除されたマルウェアを、ディスク上の通常のファイルであるかのように実行します。. この手法には、コードインジェクションは含まれません, プロセスのくぼみ, またはトランザクションNTFS (TxF),」ランダウは言った.