HijackLoader

Nasazení HijackLoader aktéry hrozeb je stále více rozšířené díky jeho účinnosti při vpravování škodlivého kódu do legitimních procesů, což usnadňuje diskrétní provádění užitečného zatížení. Tato technika jim umožňuje vyhnout se detekci využitím důvěryhodných aplikací pro nebezpečné činnosti, což vytváří náročnější prostředí pro bezpečnostní opatření, aby bylo možné hrozbu identifikovat a účinně čelit. Pozorování výzkumníků odhalují případy HijackLoaderu (také známého jako IDAT Loader), který využívá sofistikované techniky, aby se vyhnul detekci.

HijackLoader vykazuje vyvinuté schopnosti ohrožování

Výzkumníci identifikovali evoluci HijackLoader, která zahrnuje nové obranné techniky úniku, jako je procesní prohlubování, aktivace spouštěná potrubím a kombinace procesního doppelgangingu. Tato vylepšení zvyšují jeho utajení a složitost, takže je analýza náročnější. Malware navíc využívá další techniky odháknutí, což dále přispívá k jeho únikovým schopnostem.

Sofistikovaný HijackLoader spouští své operace prostřednictvím streaming_client.exe, který zatemňuje konfiguraci, aby zmařil statickou analýzu. Pomocí rozhraní WinHTTP API testuje připojení k internetu na adrese https://nginx.org. Po úspěšném připojení načte konfiguraci druhé fáze ze vzdáleného serveru.

Jakmile je malware vybaven konfigurací druhé fáze, vyhledá bajty záhlaví PNG a konkrétní magickou hodnotu. Následně dešifruje informace pomocí XOR a dekomprimuje je přes RtlDecompressBuffer API. Další krok zahrnuje načtení legitimní Windows DLL specifikované v konfiguraci, zapsání shell kódu do jeho sekce .text pro spuštění. Využívá Heaven's Gate k obcházení háčků uživatelského režimu a vkládá další shell kódy do cmd.exe. Skořápkový kód třetí fáze vloží konečnou zátěž, jako je maják Cobalt Strike , do logagent.exe pomocí procesu hollowing.

HijackLoader využívá různé únikové strategie, včetně hákového bypassu Heaven's Gate a unhooking DLL monitorovaných bezpečnostními nástroji. Využívá variace procesního vyhloubení a transacted hollowing pro injektáž, přičemž kombinuje transacted sekce a proces doppelgänging s DLL hollowing, aby se dále vyhnul detekci.

HijackLoader je vybaven několika antidetekčními technikami

Mezi primární únikové techniky používané HijackLoader a Shellcode patří:

• Obtok háku:
• Nebeská brána
• Odháknutí
• Variace prohlubování procesu

Využití HijackLoaderu podtrhuje zásadní význam proaktivních opatření kybernetické bezpečnosti pro identifikaci a prevenci takových skrytých útoků.

Organizace by měly klást důraz na rutinní bezpečnostní audity, zavádět robustní ochranu koncových bodů a být informovány o vznikajících hrozbách, aby se účinně bránily vyvíjejícím se taktikám, které používají špatně smýšlející aktéři.

Kromě těchto opatření hraje zásadní roli při zmírňování souvisejících rizik spojených s těmito sofistikovanými vektory útoků vzdělávání a školení uživatelů.