Multi-License Discount Quote
قاعدة بيانات التهديد Malware HijackLoader

HijackLoader

بواسطة Mezo في Malware
ترجمة الى:
العربية

أصبح نشر HijackLoader من قبل جهات التهديد منتشرًا بشكل متزايد نظرًا لفعاليته في حقن التعليمات البرمجية الضارة في العمليات المشروعة، مما يسهل التنفيذ السري للحمولات. تتيح لهم هذه التقنية تجنب الاكتشاف من خلال استخدام التطبيقات الموثوقة للأنشطة غير الآمنة، مما يخلق بيئة أكثر تحديًا للتدابير الأمنية لتحديد التهديد ومواجهته بفعالية. تكشف ملاحظات الباحثين عن حالات يستخدم فيها HijackLoader (المعروف أيضًا باسم IDAT Loader) تقنيات متطورة لتفادي اكتشافه.

يُظهر HijackLoader قدرات تهديد متطورة

حدد الباحثون تطور برنامج HijackLoader، حيث قام بدمج تقنيات جديدة للتهرب الدفاعي مثل تفريغ العملية، والتنشيط عبر الأنابيب، ومزيج من العمليات المزدوجة. تعمل هذه التحسينات على تعزيز السرية والتعقيد، مما يجعل التحليل أكثر صعوبة. بالإضافة إلى ذلك، تستخدم البرامج الضارة تقنيات فك إضافية، مما يساهم بشكل أكبر في قدرات المراوغة.

يبدأ HijackLoader المتطور عملياته من خلال Streaming_client.exe، الذي يحجب التكوين لإحباط التحليل الثابت. باستخدام واجهات برمجة تطبيقات WinHTTP، فإنه يختبر الاتصال بالإنترنت من خلال الوصول إلى https://nginx.org. عند نجاح الاتصال، فإنه يسترد تكوين المرحلة الثانية من خادم بعيد.

بمجرد تجهيز البرنامج الضار بتكوين المرحلة الثانية، فإنه يقوم بالمسح بحثًا عن بايتات رأس PNG وقيمة سحرية محددة. وبعد ذلك، يقوم بفك تشفير المعلومات باستخدام XOR وفك ضغطها من خلال RtlDecompressBuffer API. تتضمن الخطوة التالية تحميل ملف Windows DLL شرعي محدد في التكوين، وكتابة كود القشرة في قسم النص الخاص به للتنفيذ. يستخدم Heaven's Gate للتحايل على خطافات وضع المستخدم ويحقن رموز قشرة إضافية في cmd.exe. يقوم كود القشرة للمرحلة الثالثة بإدخال حمولة نهائية، مثل منارة Cobalt Strike ، إلى logagent.exe باستخدام عملية التجويف.

يستخدم HijackLoader العديد من إستراتيجيات التهرب، بما في ذلك تجاوز خطاف بوابة السماء وفك ربط ملفات DLL التي تتم مراقبتها بواسطة أدوات الأمان. إنه يستخدم اختلافات عملية التجويف وتجويف المعاملات للحقن، ويجمع بين قسم المعاملات وازدواجية العملية مع تجويف DLL لتجنب المزيد من الاكتشاف.

تم تجهيز HijackLoader بتقنيات متعددة لمكافحة الاكتشاف

تتضمن تقنيات التهرب الأساسية التي يستخدمها HijackLoader وShellcode ما يلي:

  • تجاوز هوك:
  • بوابة السماء
  • فك
  • تباين عملية التجويف
  • تباين عملية التجويف التفاعلية:
  • تحليل التجارة
  • تفريغ المعاملات (قسم المعاملات/Doppelgänger + تفريغ)
  • تفريغ قسم المعاملات
  • عملية التجويف

    • يؤكد استخدام HijackLoader على الأهمية الحاسمة لتدابير الأمن السيبراني الاستباقية لتحديد ومنع مثل هذه الهجمات الخفية.

    يجب على المؤسسات التركيز على عمليات التدقيق الأمني الروتينية، وتنفيذ حماية قوية لنقطة النهاية، والبقاء على اطلاع بالتهديدات الناشئة للدفاع ضد التكتيكات المتطورة التي تستخدمها الجهات الفاعلة ذات العقول السيئة بشكل فعال.

    بالإضافة إلى هذه التدابير، يلعب تثقيف المستخدمين وتدريبهم على التوعية دورًا حاسمًا في التخفيف من المخاطر المرتبطة بنواقل الهجوم المتطورة هذه.

    الشائع

    الأكثر مشاهدة

    احتيال البريد الإلكتروني "Geek Squad"

    Phishing, Spam
    33,767
    أصبح Geek Squad ، وهو مزود دعم تقني شهير ، ضحية لعملية احتيال تصيد احتيالية تسمى Geek Squad Email الاحتيال. تستخدم عملية احتيال الدعم الفني هذه رسائل بريد إلكتروني مزيفة تخدع الأشخاص للتخلي عن معلوماتهم الشخصية ، مثل تفاصيل بطاقة الائتمان وعناوين البريد الإلكتروني وحتى أرقام الضمان الاجتماعي. في هذه المقالة ، سنناقش عملية الاحتيال نفسها ، وشكلها ، ومن أين تأتي رسائل البريد الإلكتروني المزيفة ،...
    جار التحميل...