Pesquisadores de segurança descobriram uma nova técnica de evasão de sandbox.
Chamado de martelar API, a técnica envolve o uso de um grande número de chamadas para APIs do Windows para obter uma condição de suspensão estendida. O último ajuda a evitar a detecção em ambientes sandbox. A descoberta vem da Unidade de Palo Alto 42 pesquisadores. A equipe encontrou amostras do Zloader e do BazarLoader que usavam a referida técnica de martelar API.
API Hammering: Técnica de Evasão Sandbox
O que torna o martelo de API diferente dos truques usuais de evasão de sandbox que o malware utiliza?
Muitas famílias de malware utilizam a chamada técnica Ping Sleep, na qual o programa malicioso envia constantemente pacotes de rede ICMP para um endereço IP específico em um loop, ou a função da API do Windows chamada Sleep. Pesquisadores dizem que o martelamento de API é mais eficiente do que esses dois, à medida que as chamadas da API atrasam a execução das rotinas maliciosas, permitindo que o malware durma durante o processo de análise do sandbox.
No BazarLoader, a função de martelo da API está localizada no empacotador de malware, atrasar o processo de descompactação da carga útil para evitar a detecção. “Sem concluir o processo de descompactação, a amostra do BazarLoader parece estar apenas acessando chaves de registro aleatórias, um comportamento que também pode ser visto em muitos tipos legítimos de software," o relatório disse.
Ano passado, pesquisadores de segurança detalharam outra técnica de evasão anteriormente desconhecida. Chamado Process Ghosting, a técnica pode ser explorada por um agente de ameaça para contornar as proteções de segurança e executar código malicioso em um sistema Windows.
Detalhado pelo pesquisador da Elastic Security Gabriel Landau, a técnica é um ataque de adulteração de imagem, que é um pouco semelhante a ataques anteriores chamados Doppelgänging e Herpaderping.
“Com esta técnica, um invasor pode gravar um malware no disco de forma que seja difícil fazer a varredura ou excluí-lo - e onde ele executa o malware excluído como se fosse um arquivo normal no disco. Esta técnica não envolve injeção de código, esvaziamento do processo, ou NTFS transacional (TxF),”Landau disse.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: