HijackLoader

Uhkatoimijoiden HijackLoaderin käyttöönotosta on tullut yhä yleisempää, koska se on tehokkaasti ruiskuttanut haitallista koodia laillisiin prosesseihin, mikä helpottaa hyötykuormien huomaamatonta suorittamista. Tämän tekniikan avulla he voivat välttää havaitsemisen käyttämällä luotettavia sovelluksia vaarallisiin toimintoihin, mikä luo haastavamman ympäristön turvatoimille uhan tunnistamiseksi ja torjumiseksi tehokkaasti. Tutkijoiden havainnot paljastavat tapauksia, joissa HijackLoader (tunnetaan myös nimellä IDAT Loader) on käyttänyt kehittyneitä tekniikoita havaitsemisen välttämiseksi.

HijackLoader esittelee kehittyneitä uhkaavia ominaisuuksia

Tutkijat ovat tunnistaneet HijackLoaderin evoluution, joka sisältää uusia suojan kiertämistekniikoita, kuten prosessin kovettamisen, putken laukaiseman aktivoinnin ja prosessien yhdistelmän. Nämä parannukset lisäävät sen varkautta ja monimutkaisuutta, mikä tekee analysoinnista haastavampaa. Lisäksi haittaohjelma käyttää ylimääräisiä irrotustekniikoita, mikä edistää entisestään sen väistämiskykyä.

Kehittynyt HijackLoader aloittaa toimintansa streaming_client.exe-tiedoston kautta, joka hämärtää kokoonpanon estääkseen staattisen analyysin. WinHTTP-sovellusliittymiä hyödyntäen se testaa Internet-yhteyden ottamalla yhteyttä osoitteeseen https://nginx.org. Kun yhteys on onnistunut, se hakee toisen vaiheen määritykset etäpalvelimelta.

Kun haittaohjelma on varustettu toisen vaiheen konfiguraatiolla, se etsii PNG-otsikkotavuja ja tietyn maagisen arvon. Myöhemmin se purkaa tiedon salauksen XOR:n avulla ja purkaa ne RtlDecompressBuffer API:n kautta. Seuraava vaihe sisältää määrityksessä määritellyn laillisen Windows DLL:n lataamisen ja shell-koodin kirjoittamisen sen .text-osioon suorittamista varten. Se käyttää Heaven's Gatea käyttäjätilan koukkujen kiertämiseen ja lisää komentotulkkikoodeja cmd.exe-tiedostoon. Kolmannen vaiheen shell-koodi syöttää viimeisen hyötykuorman, kuten Cobalt Strike -majakan, logagent.exe-tiedostoon käyttämällä prosessin tyhjennystä.

HijackLoader käyttää erilaisia väistämisstrategioita, mukaan lukien Heaven's Gate -koukun ohitus ja tietoturvatyökalujen valvomien DLL-tiedostojen purkaminen. Se hyödyntää prosessin koverrusmuunnelmia ja transaktiota koverrustusta injektiota varten, yhdistäen transaktioidun osan ja prosessin kaksoistyön DLL-koveraukseen havaitsemisen välttämiseksi edelleen.

HijackLoader on varustettu useilla havainnoinnin estotekniikoilla

HijackLoaderin ja Shellcoden käyttämät ensisijaiset evaasiotekniikat ovat:

• Koukun ohitus:
• Taivaan portti
• Irrottaminen
• Prosessin onttomuutos

HijackLoaderin käyttö korostaa ennakoivien kyberturvallisuustoimenpiteiden kriittistä merkitystä tällaisten salaisten hyökkäysten tunnistamisessa ja estämisessä.

Organisaatioiden tulee panostaa rutiininomaisiin tietoturvatarkastuksiin, ottaa käyttöön vankka päätepistesuojaus ja pysyä ajan tasalla uusista uhkista puolustaakseen tehokkaasti huonosti ajattelevien toimijoiden käyttämiä kehittyviä taktiikoita.

Näiden toimenpiteiden lisäksi käyttäjäkoulutuksella ja tietoisuuden lisäämisellä on keskeinen rooli näiden kehittyneiden hyökkäysvektorien aiheuttamien riskien vähentämisessä.