Multi-License Discount Quote
پایگاه داده تهدید Malware HijackLoader

HijackLoader

تا Mezo در Malware
ترجمه به:
فارسی

استقرار HijackLoader توسط عوامل تهدید به دلیل کارآمدی آن در تزریق کد مخرب به فرآیندهای قانونی، و تسهیل اجرای محتاطانه بارها، به طور فزاینده ای رایج شده است. این تکنیک به آن‌ها اجازه می‌دهد تا با استفاده از برنامه‌های کاربردی قابل اعتماد برای فعالیت‌های ناامن، از شناسایی اجتناب کنند و محیط چالش‌برانگیزتری برای اقدامات امنیتی برای شناسایی و مقابله موثر با تهدید ایجاد کند. مشاهدات محققان نمونه هایی از HijackLoader (همچنین به عنوان IDAT Loader شناخته می شود) را نشان می دهد که از تکنیک های پیچیده برای فرار از تشخیص استفاده می کند.

HijackLoader قابلیت های تهدیدآمیز تکامل یافته ای را به نمایش می گذارد

محققان تکامل HijackLoader را شناسایی کرده‌اند که تکنیک‌های جدید فرار دفاعی مانند حفره‌کردن فرآیند، فعال‌سازی با راه‌اندازی لوله، و ترکیبی از انحراف فرآیندها را در خود جای داده است. این پیشرفت‌ها پنهان‌کاری و پیچیدگی آن را افزایش می‌دهند و تجزیه و تحلیل را چالش‌برانگیزتر می‌کنند. علاوه بر این، این بدافزار از تکنیک‌های اضافی برای باز کردن قلاب استفاده می‌کند که به قابلیت‌های فرار آن کمک می‌کند.

HijackLoader پیچیده عملیات خود را از طریق streaming_client.exe آغاز می کند، که پیکربندی را برای خنثی کردن تجزیه و تحلیل استاتیک مبهم می کند. با استفاده از WinHTTP API، اتصال اینترنت را با دسترسی به https://nginx.org آزمایش می کند. پس از اتصال موفقیت آمیز، پیکربندی مرحله دوم را از یک سرور راه دور بازیابی می کند.

هنگامی که به پیکربندی مرحله دوم مجهز شد، بدافزار برای بایت های سرصفحه PNG و یک مقدار جادویی خاص اسکن می کند. متعاقبا، اطلاعات را با استفاده از XOR رمزگشایی کرده و از طریق RtlDecompressBuffer API از حالت فشرده خارج می کند. مرحله بعدی شامل بارگیری یک DLL قانونی ویندوز مشخص شده در پیکربندی، نوشتن کد پوسته در بخش متن آن برای اجرا است. از Heaven's Gate برای دور زدن قلاب های حالت کاربر استفاده می کند و پوسته های اضافی را به cmd.exe تزریق می کند. پوسته‌کد مرحله‌ی سوم با استفاده از حفره‌کردن فرآیند، بار نهایی را، مانند یک چراغ Cobalt Strike ، به logagent.exe تزریق می‌کند.

HijackLoader از استراتژی‌های فرار مختلف، از جمله دور زدن قلاب دروازه بهشت و باز کردن DLL‌هایی که توسط ابزارهای امنیتی نظارت می‌شوند، استفاده می‌کند. از تغییرات حفره‌ای فرآیند و حفره‌های تراکنش‌شده برای تزریق استفاده می‌کند، ترکیب بخش تراکنش‌شده و داپلگینگ فرآیند با حفره‌های DLL برای فرار از تشخیص بیشتر.

HijackLoader مجهز به چندین تکنیک ضد تشخیص است

تکنیک های فرار اولیه که توسط HijackLoader و Shellcode استفاده می شود عبارتند از:

  • بای پس قلاب:
  • دروازه ی بهشت
  • باز کردن قلاب
  • تغییرات توخالی فرآیند
  • تغییرات توخالی فرآیند تعاملی:
  • تجزیه و تحلیل صنایع دستی
  • توخالی تراکنش (بخش تراکنش شده/دوپلگنگر + توخالی)
  • توخالی بخش معامله شده
  • فرآیند توخالی

    • استفاده از HijackLoader بر اهمیت حیاتی اقدامات پیشگیرانه امنیت سایبری برای شناسایی و جلوگیری از چنین حملات مخفیانه تاکید می کند.

    سازمان‌ها باید بر ممیزی‌های امنیتی معمول تأکید کنند، حفاظت نقطه پایانی قوی را اجرا کنند، و در مورد تهدیدات نوظهور برای دفاع در برابر تاکتیک‌های در حال تکاملی که توسط بازیگران بد فکر به‌کار می‌روند، آگاه باشند.

    علاوه بر این اقدامات، آموزش کاربر و آموزش آگاهی نقش مهمی در کاهش خطرات مرتبط با این بردارهای حمله پیچیده دارد.

    پرطرفدار

    پربیننده ترین

    کلاهبرداری ایمیل "جوخه گیک".

    Phishing, Spam
    33,767
    Geek Squad، ارائه دهنده پشتیبانی فنی محبوب، قربانی یک کلاهبرداری فیشینگ به نام Geek Squad Email Scam شده است. این کلاهبرداری با پشتیبانی فنی از ایمیل‌های جعلی استفاده می‌کند که افراد را فریب می‌دهد تا اطلاعات شخصی خود مانند جزئیات کارت اعتباری، آدرس ایمیل و حتی شماره‌های تامین اجتماعی را در اختیار دیگران قرار دهند. در این مقاله، ما در مورد خود کلاهبرداری، ظاهر آن، از کجا ایمیل های جعلی، خواسته...
    بارگذاری...