HijackLoader
হুমকি অভিনেতাদের দ্বারা হাইজ্যাকলোডারের মোতায়েন বৈধ প্রক্রিয়াগুলিতে দূষিত কোড ইনজেকশনের কার্যকারিতার কারণে ক্রমবর্ধমানভাবে প্রচলিত হয়ে উঠেছে, পেলোডগুলির বিচক্ষণতার সাথে সম্পাদনের সুবিধার্থে৷ এই কৌশলটি তাদের অসুরক্ষিত ক্রিয়াকলাপের জন্য বিশ্বস্ত অ্যাপ্লিকেশনগুলি ব্যবহার করে সনাক্তকরণ এড়াতে দেয়, কার্যকরভাবে হুমকি সনাক্ত এবং মোকাবেলা করার জন্য সুরক্ষা ব্যবস্থার জন্য আরও চ্যালেঞ্জিং পরিবেশ তৈরি করে। গবেষকদের পর্যবেক্ষণগুলি হাইজ্যাকলোডার (আইডিএটি লোডার নামেও পরিচিত) সনাক্তকরণ এড়াতে অত্যাধুনিক কৌশল নিয়োগের উদাহরণ প্রকাশ করে।
HijackLoader বিবর্তিত হুমকির ক্ষমতা প্রদর্শন করে
গবেষকরা হাইজ্যাকলোডারের বিবর্তন শনাক্ত করেছেন, নতুন প্রতিরক্ষা ফাঁকি কৌশলগুলি অন্তর্ভুক্ত করেছেন যেমন প্রক্রিয়া ফাঁপা, পাইপ-ট্রিগার অ্যাক্টিভেশন, এবং প্রক্রিয়া ডপেলগ্যাংয়ের সংমিশ্রণ। এই বর্ধনগুলি এর গোপনীয়তা এবং জটিলতা বাড়ায়, বিশ্লেষণকে আরও চ্যালেঞ্জিং করে তোলে। উপরন্তু, ম্যালওয়্যার অতিরিক্ত আনহুকিং কৌশল নিযুক্ত করে, যা এর ফাঁকি দেওয়ার ক্ষমতাকে আরও অবদান রাখে।
অত্যাধুনিক হাইজ্যাকলোডার streaming_client.exe এর মাধ্যমে তার কার্যক্রম শুরু করে, যা স্ট্যাটিক বিশ্লেষণকে ব্যর্থ করার জন্য একটি কনফিগারেশনকে অস্পষ্ট করে। WinHTTP API ব্যবহার করে, এটি https://nginx.org-এ পৌঁছানোর মাধ্যমে ইন্টারনেট সংযোগ পরীক্ষা করে। সফল সংযোগের পরে, এটি একটি দূরবর্তী সার্ভার থেকে একটি দ্বিতীয়-পর্যায়ের কনফিগারেশন পুনরুদ্ধার করে।
একবার দ্বিতীয়-পর্যায়ের কনফিগারেশনের সাথে সজ্জিত হলে, ম্যালওয়্যার PNG হেডার বাইট এবং একটি নির্দিষ্ট জাদু মান স্ক্যান করে। পরবর্তীকালে, এটি XOR ব্যবহার করে তথ্য ডিক্রিপ্ট করে এবং RtlDecompressBuffer API-এর মাধ্যমে ডিকম্প্রেস করে। পরবর্তী ধাপে কনফিগারেশনে নির্দিষ্ট করা একটি বৈধ Windows DLL লোড করা, এক্সিকিউশনের জন্য এর .text বিভাগে শেলকোড লেখা। এটি ব্যবহারকারীর মোড হুকগুলিকে আটকানোর জন্য স্বর্গের গেটকে নিয়োগ করে এবং cmd.exe-এ অতিরিক্ত শেলকোডগুলি ইনজেক্ট করে। তৃতীয় পর্যায়ের শেলকোড একটি চূড়ান্ত পেলোড ইনজেক্ট করে, একটি কোবাল্ট স্ট্রাইক বীকনের মতো, প্রক্রিয়া ফাঁপা ব্যবহার করে logagent.exe-এ।
হাইজ্যাকলোডার নিরাপত্তা সরঞ্জাম দ্বারা পর্যবেক্ষণ করা হেভেনস গেট হুক বাইপাস এবং আনহুকিং ডিএলএল সহ বিভিন্ন ফাঁকি কৌশল নিযুক্ত করে। এটি ইনজেকশনের জন্য প্রসেস হোলোয়িং ভ্যারিয়েশন এবং ট্রানজ্যাক্টেড হোলোইং ব্যবহার করে, ট্রানজ্যাক্টেড সেকশন এবং প্রসেস ডপেলগ্যাংগিং এর সাথে ডিএলএল হোলোয়িং এর সাথে আরও সনাক্তকরণ এড়াতে ব্যবহার করে।
হাইজ্যাকলোডার একাধিক অ্যান্টি-ডিটেকশন টেকনিক দিয়ে সজ্জিত
হাইজ্যাকলোডার এবং শেলকোড দ্বারা নিযুক্ত প্রাথমিক ফাঁকি কৌশলগুলির মধ্যে রয়েছে:
- হুক বাইপাস:
- স্বর্গের দরজা
- আনহুকিং
- প্রক্রিয়া Hollowing বৈচিত্র
- ইন্টারেক্টিভ প্রসেস হোলোয়িং ভ্যারিয়েশন:
- ট্রেডক্রাফ্ট বিশ্লেষণ
- লেনদেন করা ফাঁপা (লেনদেন করা বিভাগ/ডপেলগেঞ্জার + হোলো করা)
- লেনদেন করা বিভাগ হোলো করা
- প্রক্রিয়া Hollowing
হাইজ্যাকলোডারের ব্যবহার এই ধরনের গোপন আক্রমণ শনাক্ত ও প্রতিরোধ করার জন্য সক্রিয় সাইবার নিরাপত্তা ব্যবস্থার গুরুত্বপূর্ণ গুরুত্বের ওপর জোর দেয়।
সংস্থাগুলিকে রুটিন নিরাপত্তা নিরীক্ষার উপর জোর দেওয়া উচিত, শক্তিশালী এন্ডপয়েন্ট সুরক্ষা প্রয়োগ করা উচিত এবং অসুস্থ মানসিকতার অভিনেতাদের দ্বারা কার্যকরভাবে নিযুক্ত বিকশিত কৌশলগুলির বিরুদ্ধে রক্ষা করার জন্য উদীয়মান হুমকি সম্পর্কে অবগত থাকা উচিত।
এই ব্যবস্থাগুলি ছাড়াও, ব্যবহারকারী শিক্ষা এবং সচেতনতা প্রশিক্ষণ এই অত্যাধুনিক আক্রমণ ভেক্টরগুলির সাথে সম্পর্কিত ঝুঁকিগুলি হ্রাস করতে একটি গুরুত্বপূর্ণ ভূমিকা পালন করে।
