HijackLoader

HijackLoaderi juurutamine ohus osalejate poolt on muutunud üha levinumaks, kuna see on tõhus pahatahtliku koodi sisestamisel seaduslikesse protsessidesse, hõlbustades kasulike koormuste diskreetset täitmist. See meetod võimaldab neil avastamist vältida, kasutades ebaturvaliste tegevuste jaoks usaldusväärseid rakendusi, luues turvameetmete jaoks keerukama keskkonna ohu tõhusaks tuvastamiseks ja selle vastu võitlemiseks. Teadlaste vaatlused näitavad juhtumeid, kus HijackLoader (tuntud ka kui IDAT Loader) kasutab tuvastamisest kõrvalehoidmiseks keerukaid tehnikaid.

HijackLoader pakub välja arenenud ähvardamisvõimalusi

Teadlased on tuvastanud HijackLoaderi evolutsiooni, mis hõlmab uusi kaitsemeetmetest kõrvalehoidmise tehnikaid, nagu protsessi õõnestamine, toru käivitatud aktiveerimine ja protsesside segamise kombinatsioon. Need täiustused suurendavad selle vargsi ja keerukust, muutes analüüsimise keerukamaks. Lisaks kasutab pahavara täiendavaid lahtihaakimistehnikaid, mis aitab veelgi kaasa selle kõrvalehoidmisvõimalustele.

Keeruline HijackLoader käivitab oma toimingud streaming_client.exe kaudu, mis hägustab konfiguratsiooni, et takistada staatilise analüüsi. Kasutades WinHTTP API-sid, testib see Interneti-ühendust, jõudes aadressile https://nginx.org. Eduka ühenduse korral hangib see kaugserverist teise etapi konfiguratsiooni.

Kui pahavara on varustatud teise etapi konfiguratsiooniga, otsib see PNG-päisebaite ja konkreetset maagilist väärtust. Seejärel dekrüpteerib see teabe XOR-i abil ja pakkib selle lahti RtlDecompressBuffer API kaudu. Järgmine samm hõlmab konfiguratsioonis määratud legitiimse Windowsi DLL-i laadimist, shellkoodi kirjutamist selle .text jaotisesse täitmiseks. See kasutab kasutajarežiimi konksudest kõrvalehoidmiseks Taevaväravat ja sisestab faili cmd.exe täiendavaid shellkoode. Kolmanda astme shellkood sisestab protsessi õõnestamist kasutades faili logagent.exe lõpliku kasuliku koormuse, nagu Cobalt Strike'i majakas.

HijackLoader kasutab erinevaid kõrvalehoidmisstrateegiaid, sealhulgas Heaven's Gate'i konksu möödaviimist ja turbetööriistade poolt jälgitavate DLL-ide lahtihaakmist. See kasutab protsessi õõnestamise variatsioone ja transakteeritud õõnestamist süstimiseks, kombineerides transakteeritud sektsiooni ja protsessi õõnestamist DLL-i õõnestamisega, et vältida tuvastamist.

HijackLoader on varustatud mitme tuvastamisvastase tehnikaga

HijackLoaderi ja Shellcode'i peamised kõrvalehoidmismeetodid hõlmavad järgmist:

• Konksu ümbersõit:
• Taevavärav
• Lahtihaakimine
• Protsessi õõnestusvariatsioon

HijackLoaderi kasutamine rõhutab proaktiivsete küberjulgeolekumeetmete kriitilist tähtsust selliste varjatud rünnakute tuvastamisel ja ennetamisel.

Organisatsioonid peaksid panema rõhku rutiinsetele turbeaudititele, rakendama tugevat lõpp-punktide kaitset ja olema kursis tekkivate ohtudega, et kaitsta tõhusalt pahatahtlike osalejate kasutatavate arenevate taktikate eest.

Lisaks nendele meetmetele mängib nende keerukate ründevektoritega kaasnevate riskide maandamisel otsustavat rolli kasutajate koolitus ja teadlikkuse tõstmine.