HijackLoader

Η ανάπτυξη του HijackLoader από τους παράγοντες απειλών έχει γίνει ολοένα και πιο διαδεδομένη λόγω της αποτελεσματικότητάς του στην εισαγωγή κακόβουλου κώδικα σε νόμιμες διαδικασίες, διευκολύνοντας τη διακριτική εκτέλεση ωφέλιμων φορτίων. Αυτή η τεχνική τους επιτρέπει να αποφεύγουν τον εντοπισμό χρησιμοποιώντας αξιόπιστες εφαρμογές για μη ασφαλείς δραστηριότητες, δημιουργώντας ένα πιο απαιτητικό περιβάλλον για μέτρα ασφαλείας για τον εντοπισμό και την αποτελεσματική αντιμετώπιση της απειλής. Οι παρατηρήσεις από ερευνητές αποκαλύπτουν περιπτώσεις HijackLoader (επίσης γνωστό ως IDAT Loader) που χρησιμοποιεί εξελιγμένες τεχνικές για να αποφύγει τον εντοπισμό.

Το HijackLoader παρουσιάζει εξελιγμένες απειλητικές ικανότητες

Οι ερευνητές εντόπισαν την εξέλιξη του HijackLoader, ενσωματώνοντας νέες τεχνικές αποφυγής άμυνας, όπως το κούφωμα διεργασίας, η ενεργοποίηση που προκαλείται από σωλήνες και ένας συνδυασμός διεργασίας διαφυγής. Αυτές οι βελτιώσεις ενισχύουν τη μυστικότητα και την πολυπλοκότητά του, καθιστώντας την ανάλυση πιο δύσκολη. Επιπλέον, το κακόβουλο λογισμικό χρησιμοποιεί επιπλέον τεχνικές απαγκίστρωσης, συμβάλλοντας περαιτέρω στις δυνατότητές του για αποφυγή.

Το εξελιγμένο HijackLoader ξεκινά τις λειτουργίες του μέσω του streaming_client.exe, το οποίο συσκοτίζει μια διαμόρφωση για να εμποδίσει τη στατική ανάλυση. Χρησιμοποιώντας WinHTTP API, δοκιμάζει τη συνδεσιμότητα στο Διαδίκτυο μεταβαίνοντας στη διεύθυνση https://nginx.org. Μετά την επιτυχή σύνδεση, ανακτά μια διαμόρφωση δεύτερου σταδίου από έναν απομακρυσμένο διακομιστή.

Αφού εξοπλιστεί με τη διαμόρφωση δεύτερου σταδίου, το κακόβουλο λογισμικό σαρώνει για byte κεφαλίδας PNG και μια συγκεκριμένη μαγική τιμή. Στη συνέχεια, αποκρυπτογραφεί τις πληροφορίες χρησιμοποιώντας XOR και τις αποσυμπιέζει μέσω του RtlDecompressBuffer API. Το επόμενο βήμα περιλαμβάνει τη φόρτωση ενός νόμιμου DLL των Windows που καθορίζεται στη διαμόρφωση, γράφοντας τον κώδικα shell στην ενότητα .text για εκτέλεση. Χρησιμοποιεί το Heaven's Gate για να παρακάμψει τα άγκιστρα της λειτουργίας χρήστη και εισάγει πρόσθετους κώδικες κελύφους στο cmd.exe. Ο κέλυφος τρίτου σταδίου εισάγει ένα τελικό ωφέλιμο φορτίο, όπως ένα φάρο Cobalt Strike , στο logagent.exe χρησιμοποιώντας τη διαδικασία hollowing.

Το HijackLoader χρησιμοποιεί διάφορες στρατηγικές αποφυγής, συμπεριλαμβανομένης της παράκαμψης αγκίστρου του Heaven's Gate και της απαγκίστρωσης DLL που παρακολουθούνται από εργαλεία ασφαλείας. Χρησιμοποιεί παραλλαγές κοίλωσης διεργασίας και κοίλωμα για έγχυση που έχει πραγματοποιηθεί με συναλλαγή, συνδυάζοντας το διαγώνισμα τομής και διεργασίας με κοιλότητα DLL για να αποφύγει περαιτέρω την ανίχνευση.

Το HijackLoader είναι εξοπλισμένο με πολλαπλές τεχνικές αντι-ανίχνευσης

Οι κύριες τεχνικές αποφυγής που χρησιμοποιούνται από το HijackLoader και το Shellcode περιλαμβάνουν:

• Παράκαμψη γάντζου:
• Πύλη του παραδείσου
• Απαγκίστρωση
• Διαδικασία κοίλη παραλλαγή

Η χρήση του HijackLoader υπογραμμίζει την κρίσιμη σημασία των προληπτικών μέτρων κυβερνοασφάλειας για τον εντοπισμό και την πρόληψη τέτοιων κρυφών επιθέσεων.

Οι οργανισμοί θα πρέπει να δίνουν έμφαση σε ελέγχους ρουτίνας ασφάλειας, να εφαρμόζουν ισχυρή προστασία τελικού σημείου και να ενημερώνονται για τις αναδυόμενες απειλές για την αποτελεσματική άμυνα έναντι των εξελισσόμενων τακτικών που εφαρμόζουν κακοπροαίρετοι παράγοντες.

Εκτός από αυτά τα μέτρα, η εκπαίδευση των χρηστών και η εκπαίδευση ευαισθητοποίησης διαδραματίζουν κρίσιμο ρόλο στον μετριασμό των σχετικών κινδύνων αυτών των εξελιγμένων φορέων επίθεσης.