GuLoader 是一个 Shellcode 下载工具，因使用多种反分析技术来进行检测逃避而闻名。研究人员发现，GuLoader 近期针对韩国与美国的电子商务行业客户攻击频繁。

什么是 NSIS？

MSIS 是用于开源的 Windows 应用安装程序，其典型功能为：

基于脚本且完全免费

恶意代码可以与合法程序打包在一起

可直接调用 Windows API 来加载 .NET 模块、MSSQL 等已有插件

与 VBA、JavaScript 和其他基于脚本的恶意软件一样，可以通过混淆来进行检测逃避

GuLoader Shellcode 捆绑打包

加载 .NET 模块的示例

NSIS 的可执行文件一定会存在 .ndata 段，并且 Nullsoft Inst字符串会在特定位置。另外，编译器与加壳检测也能够用于识别 NSIS 可执行文件。

PE 文件中的 NSIS 压缩数据

垃圾邮件

2021 年 11 月，攻击者开始使用 NSIS 可执行文件前，研究人员发现了一个可疑的 ZIP 文件。该文件包含一个带有宏代码的 Word 文档，宏代码会释放一个 LNK 文件与 VBS 脚本。VBS 脚本文件会释放 PE 文件，再加载 GuLoader 的 Shellcode。

执行流程

2022 年，攻击者转向使用 NSIS 可执行文件。例如将 NSIS 可执行文件嵌入在 ZIP 文件中或者 ISO 镜像文件中。

ZIP 文件中的 NSIS

ISO 镜像文件中的 NSIS

在压缩文件与镜像文件中嵌入可执行文件是能够进行检测逃避的，在野发现的可用于嵌入 NSIS 可执行文件的格式如下所示：

格式列表

在 2022 年 12 月的前两周，研究人员发现超过 5000 个与 GuLoader 恶意邮件附件相关的事件。至少 13 个国家/地区的十余个行业，都成为了攻击者的目标。

国家分布

行业分布

混淆处理

在 2022 年 2 月最初使用 NSIS 时，并没有对脚本进行混淆。

简单的 NSIS 脚本

后来，攻击者开始使用混淆的 NSIS 脚本。在 2022 年 4 月，攻击者对其进行两次改进。首先，Shellcode 文件扩展名从 .dat 更改为随机扩展名。其次，经过混淆的 NSIS 脚本引入了异或运算来解密后续代码。

使用异或操作

解密代码

2022 年 9 月，混淆程度进一步加深。脚本使用带有 powershell.exe 或 cmd.exe 的单行命令来执行对 Payload 的异或解码，再通过 ExecToStack 从命令 stdout 检索。

使用 cmd 或 powershell 解密

字符串加密

此前，加密字符串位于 GuLoader 的特定位置，加密数据和加密数据长度复制并传递给解密函数。2022 年 11 月，GuLoader 在字符串解密之前连接加密数据缓冲区，并且加密数据长度和加密数据是在运行时通过特定的随机数学运算计算而来。

加密数据串联

总结

攻击者从开始简单使用 NSIS 可执行文件，一路不断增加混淆程度，增强对抗能力。这表明了攻击者在检测逃避、阻碍分析方面上的创造力，应该引起警惕。

IOC

https[:]//staninnovationgroupllc[.]com/MYFORMBOOK_eyHVNu169 [.] bin
https[:]//drive[.]google[.]com/uc?export=download&id=1ffapdpLWKae2MES2ltCw9RdNejEAZDAQ
http[:]//91[.]245[.]255[.]55/java_agent_sZOCrs225 [.] bin
http[:]//37[.]120[.]222[.]192/texas_TYBnb22 [.] bin
http[:]//linkedindianer[.]com/infoo_UXXITSZ73 [.] bin
http[:]//193[.]239[.]86[.]180/build_CMxTGk211 [.] bin
http[:]//www[.]aortistf[.]tk/MAKS_rOOOVChP166 [.] bin
http[:]//jmariecompany[.]com/kOrg_sIhYtzsF95 [.] bin
https[:]//drive[.]google[.]com/uc?export=download&id=1ansa1ONnGoAMkTEB_Wbp1HpGzRPmLHCq
http[:]//posadalaprotegida[.]com[.]ar/EbiCBZqpSxRr192 [.] msi
https[:]//drive[.]google[.]com/uc?export=download&id=1YScc0lvOAwwaCDu5uuYbn6tWSsZGxlEM
https[:]//drive[.]google[.]com/uc?export=download&id=1bR29icPd_54Rzhuz9C80B1EpULuWDlVt
http[:]//146[.]70[.]79[.]13/GPUARDJZecPp13 [.] smi
http[:]//45[.]137[.]117[.]184/hvntfVSKcCQt84 [.] dsp
bd8d50eacc2cb7c6759fa5a62791e8d0
bffd0312e6151472c32be6dea6897b-50
aa074c005a4b2e89dedd45bd9d869881
c691bc9cb2682c023351aa7460242eb9
d31f6ec6a53b1a2659d4697b72900dac
b53d5a3078e3d1cae1cf8f150987eb7f
22b82f46f0ff7c7a1b375aa84867d277
a5bb4f5bacfabb9c81035fec65a84012
f5e9499818bb35be1d5b670b833216bf
703254254bf23f72b26f54a936cda496
ff091158eec27558905a598dee86c043
1349db7fd7aaa4a1547cd4381cd7a9b1

参考来源

Trellix