Beveiligingsonderzoekers ontdekten een nieuwe techniek voor het ontwijken van sandboxen.
API hameren genoemd, de techniek omvat het gebruik van een groot aantal aanroepen naar Windows API's om een langdurige slaaptoestand te bereiken. Dit laatste helpt om detectie in sandbox-omgevingen te omzeilen. De ontdekking komt van Palo Alto's Unit 42 onderzoekers. Het team kwam Zloader- en BazarLoader-samples tegen die de genoemde API-hamertechniek gebruikten.
API Hameren: Sandbox-ontwijkingstechniek
Wat maakt API-hamerwerk anders dan de gebruikelijke sandbox-ontduikingstrucs die malware gebruikt??
Veel malwarefamilies gebruiken ofwel de zogenaamde Ping Sleep-techniek, waarbij het kwaadaardige programma voortdurend ICMP-netwerkpakketten in een lus naar een bepaald IP-adres stuurt., of de Windows API-functie genaamd Sleep. Onderzoekers zeggen dat API-hamer efficiënter is dan deze twee, omdat de API-aanroepen de uitvoering van de kwaadaardige routines vertragen, waardoor de malware kan slapen tijdens het sandbox-analyseproces.
In BazarLoader, de API-hamerfunctie bevindt zich in de malwarepacker, het uitpakken van de lading vertragen om detectie te ontwijken. “Zonder het uitpakken te voltooien, het BazarLoader-voorbeeld lijkt alleen toegang te hebben tot willekeurige registersleutels, een gedrag dat ook te zien is in veel legitieme soorten software," het verslag zei.
Vorig jaar, beveiligingsonderzoekers hebben een andere voorheen onbekende ontwijkingstechniek beschreven. Gebeld Ghosting verwerken, de techniek kan worden misbruikt door een dreigingsactor om beveiligingsmaatregelen te omzeilen en kwaadaardige code op een Windows-systeem uit te voeren.
Gedetailleerd door Elastic Security-onderzoeker Gabriel Landau, de techniek is een aanval met beeldmanipulatie, die enigszins lijkt op eerdere aanvallen genaamd Doppelgänging en Herpaderping.
“Met deze techniek, een aanvaller kan een stukje malware op schijf schrijven zodat het moeilijk te scannen of te verwijderen is - en waar het vervolgens de verwijderde malware uitvoert alsof het een gewoon bestand op schijf is. Deze techniek omvat geen code-injectie, proces uitholling, of Transactionele NTFS (TxF)," zei Landauau.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: