Slide 9
Slide 9 text
GULOADERの仕組み
EXE
• Microsoft Visual Basic 5.0/6.0
• シェルコードの展開
RegAsm.exe
( or Dropfile)
• シェルコードがインジェクションされる
• 潜伏ファイル、レジストリ作成挙動
• 解析妨害 (Anti-VM/Anti-Sandbox/Anti-Debug)
RegAsm.exe
( or Dropfile)
•プロセスホロウィング手法
•別マルウェアデータをダウンロード
•XOR復号して実行
•別マルウェアがこのプロセス上で動く
9
例:azo_encrypted_XXXXXX.bin
Azorult, etc