HijackLoader

Implementeringen af HijackLoader af trusselsaktører er blevet mere og mere udbredt på grund af dens effektivitet til at injicere ondsindet kode i legitime processer, hvilket letter den diskrete eksekvering af nyttelaster. Denne teknik giver dem mulighed for at undgå opdagelse ved at bruge betroede applikationer til usikre aktiviteter, hvilket skaber et mere udfordrende miljø for sikkerhedsforanstaltninger til at identificere og imødegå truslen effektivt. Observationer fra forskere afslører tilfælde af HijackLoader (også kendt som IDAT Loader), der anvender sofistikerede teknikker til at undgå detektion.

HijackLoader udviser udviklede truende egenskaber

Forskere har identificeret udviklingen af HijackLoader, der inkorporerer nye forsvarunddragelsesteknikker såsom procesudhulning, rørudløst aktivering og en kombination af procesdoppelganging. Disse forbedringer forbedrer dens snighed og kompleksitet, hvilket gør det mere udfordrende at analysere. Derudover anvender malwaren ekstra afhooking-teknikker, hvilket yderligere bidrager til dens undvigende evner.

Den sofistikerede HijackLoader starter sine operationer gennem streaming_client.exe, som slører en konfiguration for at forhindre statisk analyse. Ved at bruge WinHTTP API'er tester den internetforbindelse ved at kontakte https://nginx.org. Ved vellykket forbindelse henter den en anden trins konfiguration fra en ekstern server.

Når den først er udstyret med konfigurationen i andet trin, scanner malwaren efter PNG-headerbytes og en specifik magisk værdi. Efterfølgende dekrypterer den informationen ved hjælp af XOR og dekomprimerer den gennem RtlDecompressBuffer API. Det næste trin involverer indlæsning af en legitim Windows DLL specificeret i konfigurationen, skrivning af shellcode til dens .text sektion til udførelse. Den anvender Heaven's Gate til at omgå brugertilstand hooks og injicerer yderligere shell-koder i cmd.exe. Tredje trins shellcode injicerer en endelig nyttelast, som et Cobalt Strike- beacon, i logagent.exe ved hjælp af procesudhulning.

HijackLoader anvender forskellige unddragelsesstrategier, herunder Heaven's Gate hook bypass og afhooking DLL'er overvåget af sikkerhedsværktøjer. Den anvender procesudhulningsvariationer og transageret udhulning til injektion, kombinerer transageret sektion og procesdoppelganging med DLL-udhulning for at undgå detektion yderligere.

HijackLoader er udstyret med flere anti-detektionsteknikker

De primære unddragelsesteknikker, der anvendes af HijackLoader og Shellcode omfatter:

• Hook Bypass:
• Himlens Port
• Afkrogning
• Procesudhulningsvariation

Brugen af HijackLoader understreger den kritiske betydning af proaktive cybersikkerhedsforanstaltninger for at identificere og forhindre sådanne skjulte angreb.

Organisationer bør lægge vægt på rutinemæssige sikkerhedsrevisioner, implementere robust endpoint-beskyttelse og holde sig informeret om nye trusler for at forsvare sig mod de udviklende taktikker, der anvendes af dårligt sindede aktører effektivt.

Ud over disse foranstaltninger spiller brugeruddannelse og bevidsthedstræning en afgørende rolle i at mindske de tilknyttede risici ved disse sofistikerede angrebsvektorer.