Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Инструмент GuLoader
Каталоги
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Риски
Каталоги
MITRE ATT&CK
Инструмент
GuLoader
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

GuLoader

GuLoader is a file downloader that has been used since at least December 2019 to distribute a variety of remote administration tool (RAT) malware, including NETWIRE, Agent Tesla, NanoCore, FormBook, and Parallax RAT.(Citation: Unit 42 NETWIRE April 2020)(Citation: Medium Eli Salem GuLoader April 2021)
ID: S0561
Type: MALWARE
Platforms: Windows
Version: 2.0
Created: 11 Jan 2021
Last Modified: 15 Oct 2021

Techniques Used
Domain ID Name Use
Enterprise T1071 .001 Application Layer Protocol: Web Protocols

GuLoader can use HTTP to retrieve additional binaries.(Citation: Unit 42 NETWIRE April 2020)(Citation: Medium Eli Salem GuLoader April 2021)
Enterprise T1547 .001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder

GuLoader can establish persistence via the Registry under HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.(Citation: Unit 42 NETWIRE April 2020)
Enterprise T1070 .004 Indicator Removal: File Deletion

GuLoader can delete its executable from the AppData\Local\Temp directory on the compromised host.(Citation: Unit 42 NETWIRE April 2020)
Enterprise T1566 .002 Phishing: Spearphishing Link

GuLoader has been spread in phishing campaigns using malicious web links.(Citation: Unit 42 NETWIRE April 2020)
Enterprise T1204 .001 User Execution: Malicious Link

GuLoader has relied upon users clicking on links to malicious documents.(Citation: Unit 42 NETWIRE April 2020)
.002 User Execution: Malicious File

The GuLoader executable has been retrieved via embedded macros in malicious Word documents.(Citation: Unit 42 NETWIRE April 2020)

Enterprise T1497 .001 Virtualization/Sandbox Evasion: System Checks

GuLoader has the ability to perform anti-VM and anti-sandbox checks using string hashing, the API call EnumWindows, and checking for Qemu guest agent.(Citation: Medium Eli Salem GuLoader April 2021)
.003 Virtualization/Sandbox Evasion: Time Based Evasion

GuLoader has the ability to perform anti-debugging based on time checks, API calls, and CPUID.(Citation: Medium Eli Salem GuLoader April 2021)

References

  1. Duncan, B. (2020, April 3). GuLoader: Malspam Campaign Installing NetWire RAT. Retrieved January 7, 2021.
  2. Salem, E. (2021, April 19). Dancing With Shellcodes: Cracking the latest version of Guloader. Retrieved July 7, 2021.
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.