본문 바로가기
최신 보안 동향

분석 방해 기술이 추가된 GuLoader 악성코드 변종

by TACHYON & ISARC 2022. 12. 30.

최근, 분석 방해 기술이 추가된 "GuLoader" 악성코드의 변종이 발견됐다.

 

보안 업체 Crowdstrike에 따르면, 해당 악성코드는 쉘코드 형태의 다운로더로 최신 버전에서는 VBS 파일 실행을 통해 유포되는 것으로 알려졌다. 이 파일을 실행하면 악성 쉘코드를 드롭한 뒤 정상 프로세스에 주입해 실행하고 "Remcos" 악성코드를 다운로드한다.

 

발견된 변종은 프로세스 메모리 전체에서 가상머신 관련 문자열 검사를 수행하며, 가상 환경이 탐지될 경우 쉘코드 실행을 중단하는 것으로 밝혀졌다.

 

[VM 관련 메모리 스캔 방법을 보여주는 코드]

사진출처 : Crowdstrike

 

출처

[1] Crowdstrike (2022.12.19) - Malware Analysis: GuLoader Dissection Reveals New Anti-Analysis Techniques and Code Injection Redundancy

https://www.crowdstrike.com/blog/guloader-dissection-reveals-new-anti-analysis-techniques-and-code-injection-redundancy/