HijackLoader

Внедряването на HijackLoader от участници в заплахи става все по-разпространено поради неговата ефикасност при инжектиране на зловреден код в легитимни процеси, улеснявайки дискретното изпълнение на полезни товари. Тази техника им позволява да избегнат откриването, като използват надеждни приложения за опасни дейности, създавайки по-предизвикателна среда за мерките за сигурност за идентифициране и ефективно противодействие на заплахата. Наблюденията на изследователите разкриват случаи на HijackLoader (известен също като IDAT Loader), използващ сложни техники, за да избегне откриването.

HijackLoader проявява развити заплашителни способности

Изследователите са идентифицирали еволюцията на HijackLoader, включваща нови техники за избягване на отбраната, като издълбаване на процеса, задействано от тръба активиране и комбинация от двойни процеси. Тези подобрения подобряват неговата скритост и сложност, което прави анализирането по-предизвикателно. Освен това злонамереният софтуер използва допълнителни техники за откачане, което допълнително допринася за неговите способности за избягване.

Усъвършенстваният HijackLoader инициира операциите си чрез streaming_client.exe, който замъглява конфигурация, за да осуети статичния анализ. Използвайки WinHTTP API, той тества интернет свързаността, като достига до https://nginx.org. При успешно свързване той извлича конфигурация от втори етап от отдалечен сървър.

Веднъж оборудван с конфигурацията от втория етап, злонамереният софтуер сканира за PNG заглавни байтове и специфична магическа стойност. Впоследствие той дешифрира информацията с помощта на XOR и я декомпресира чрез RtlDecompressBuffer API. Следващата стъпка включва зареждане на легитимен Windows DLL, посочен в конфигурацията, запис на shellcode в неговата .text секция за изпълнение. Той използва Heaven's Gate, за да заобиколи куките на потребителския режим и инжектира допълнителни shellcodes в cmd.exe. Шелкодът на третия етап инжектира окончателен полезен товар, като маяк Cobalt Strike , в logagent.exe, използвайки процес hollowing.

HijackLoader използва различни стратегии за избягване, включително байпас на куката на Heaven's Gate и откачване на DLL файлове, наблюдавани от инструменти за сигурност. Той използва вариации на издълбаване на процеса и издълбаване на транзакцията за инжектиране, комбинирайки участък на транзакцията и дублиране на процеса с издълбаване на DLL, за да избегне допълнително откриване.

HijackLoader е оборудван с множество техники против откриване

Основните техники за избягване, използвани от HijackLoader и Shellcode, включват:

• Байпас на куката:
• Райската порта
• Откачане
• Вариация на процеса на вдлъбване

Използването на HijackLoader подчертава критичното значение на проактивните мерки за киберсигурност за идентифициране и предотвратяване на такива скрити атаки.

Организациите трябва да поставят акцент върху рутинните одити на сигурността, да внедряват стабилна защита на крайната точка и да бъдат информирани за възникващи заплахи, за да се защитават ефективно срещу развиващите се тактики, използвани от злонамерени участници.

В допълнение към тези мерки, обучението на потребителите и обучението за осведоменост играят решаваща роля за смекчаване на свързаните рискове от тези сложни вектори на атака.