Licenças para vários dispositivos (descontos por volume)

Mudar de região

English Dansk Deutsch Español Français Italiano Nederlands Português
Threat Database Malware Gacrux Malware

Gacrux Malware

Por GoldSparrow em Malware
Traduzir Para:
Português

Gacrux é uma ameaça de malware escrita em C que exibe uma combinação bastante peculiar de levantamento de módulos inteiros e seções de código de projetos de código aberto com um carregador PE personalizado. Apesar do uso liberal de código aberto e de alguns bugs, o Malware Gacrux está sendo vendido em fóruns de hackers clandestinos. De acordo com o pesquisador da infosec KrabsOnSecurity, o Gacrux parece ter se inspirado em outro malware chamado Smoke Loader.

Técnicas Anti-Análise e Anti-VM

Embora a maioria deles possa ser circunavegada facilmente, o Gacrux está equipado com algumas medidas anti-análise. A ameaça primeiro tenta interromper a depuração do IDA implementando retornos e saltos falsos que fazem com que o IDA desmonte as instruções subsequentes de maneira incorreta. Como medida adicional de ofuscação, duas funções são criptografadas em disco pelo Malware Gacrux. Como um identificador para potencialmente ser executado em um ambiente sandbox, o Gacrux verifica o espaço em disco disponível e o tamanho do Ram.

Métodos anti-depuração adicionais são espalhados por todo o código do malware. A maioria deles é injetada em segmentos de função importantes e travam todo o processo se detectarem um depurador ou um ambiente de VM.

O mecanismo de persistência é estabelecido através de um Window Procedure responsável por verificar o arquivo instalado e criar um arquivo .lnk de inicialização. O procedimento é chamado dentro do contexto do explorer.exe periodicamente.

O Gacrux Malware Pega Emprestado um Código-Fonte Aberto

Entre os módulos que compõem a infraestrutura da Gacrux, vários foram retirados de projetos gratuitos hospedados em serviços da Web legítimos diretamente. Por exemplo, o módulo syscall da ameaça é uma cópia quase idêntica de um criptografador de código aberto, enquanto o carregador dos módulos é obtido do projeto Módulo de Memória encontrado diretamente no Github.

O código coletado também pode ser encontrado como parte da primitiva de execução que explora SetPropA em um método copiado de implementações de código aberto. Para sua injeção de código, a Gacrux aproveita duas primitivas de gravação diferentes, dependendo se está sendo executado em uma arquitetura de 32 bits ou 64 bits. Para sistemas de 32 bits, o malware usa 'NtCreateSection/NtMapViewOfSection ', enquanto para sistemas de 64 bits, ele usa 'NtAllocateVirtualMemory/NtWriteVirtualMemory.'

Tendendo

Mais visto

Carregando...