Multi-License Discount Quote
מסד נתונים של איומים Malware HijackLoader

HijackLoader

עד Mezo ב-Malware
לתרגם ל:
עברית

הפריסה של HijackLoader על ידי גורמי איומים הפכה נפוצה יותר ויותר בשל יעילותו בהחדרת קוד זדוני לתהליכים לגיטימיים, מה שמקל על ביצוע דיסקרטי של מטענים. טכניקה זו מאפשרת להם להימנע מגילוי על ידי שימוש ביישומים מהימנים עבור פעילויות לא בטוחות, יצירת סביבה מאתגרת יותר עבור אמצעי אבטחה לזיהוי האיום ולהתמודדות אפקטיבית. תצפיות של חוקרים חושפות מקרים של HijackLoader (הידוע גם בשם IDAT Loader) תוך שימוש בטכניקות מתוחכמות כדי לחמוק מזיהוי.

HijackLoader מציג יכולות מאיימות מפותחות

חוקרים זיהו את האבולוציה של HijackLoader, תוך שילוב טכניקות התחמקות הגנה חדשות כגון חלול תהליכים, הפעלה מופעלת על ידי צינור ושילוב של תהליך כפול. שיפורים אלה משפרים את התגנבות ומורכבות שלו, מה שהופך את הניתוח למאתגר יותר. בנוסף, התוכנה הזדונית משתמשת בטכניקות ניתוק נוספות, התורמות עוד יותר ליכולות ההתחמקות שלה.

ה-HijackLoader המתוחכם יוזם את הפעולות שלו דרך streaming_client.exe, אשר מטשטש תצורה כדי לסכל ניתוח סטטי. באמצעות ממשקי API של WinHTTP, הוא בודק קישוריות לאינטרנט על ידי פנייה אל https://nginx.org. לאחר חיבור מוצלח, הוא מאחזר תצורת שלב שני משרת מרוחק.

לאחר הצטיידות בתצורת השלב השני, התוכנה הזדונית סורקת אחר בתים של כותרת PNG וערך קסם ספציפי. לאחר מכן, הוא מפענח את המידע באמצעות XOR ומשחרר אותו דרך ה-API של RtlDecompressBuffer. השלב הבא כולל טעינת DLL לגיטימי של Windows שצוין בתצורה, כתיבת קוד המעטפת למקטע ה-.text שלו לביצוע. הוא משתמש ב-Heaven's Gate כדי לעקוף ווים של מצב משתמש ומחדיר קודי מעטפת נוספים לתוך cmd.exe. קוד מעטפת השלב השלישי מזריק מטען סופי, כמו משואה של Cobalt Strike , לתוך logagent.exe באמצעות חלול תהליך.

HijackLoader משתמש באסטרטגיות התחמקות שונות, כולל עקיפת ה-Heaven's Gate ו-DLL ביטול החיבור המנוטרים על ידי כלי אבטחה. הוא משתמש בווריאציות של החללת תהליכים וחלילה מבצעת לצורך הזרקה, משלב קטעים שבוצעו ו-doppelgänging בתהליך עם חלול DLL כדי להתחמק מגילוי נוסף.

HijackLoader מצויד במספר טכניקות נגד זיהוי

טכניקות ההתחמקות העיקריות המופעלות על ידי HijackLoader ו-Shellcode כוללות:

  • מעקף וו:
  • שערי גן עדן
  • ניתוק
  • תהליך חלול וריאציה
  • וריאציה אינטראקטיבית של חלול תהליך:
  • ניתוח Tradecraft
  • עסקאות חלולה (קטע עסקאות/דופלגנגר + חלולה)
  • חלול מקטע עסקאות
  • תהליך חלול

    • השימוש ב-HijackLoader מדגיש את החשיבות הקריטית של אמצעי אבטחת סייבר פרואקטיביים כדי לזהות ולמנוע התקפות סמויות כאלה.

    ארגונים צריכים לשים דגש על ביקורות אבטחה שגרתיות, ליישם הגנה חזקה על נקודות קצה, ולהישאר מעודכן לגבי איומים מתעוררים כדי להתגונן מפני הטקטיקות המתפתחות המופעלות על ידי שחקנים חסרי דעות ביעילות.

    בנוסף לאמצעים אלה, חינוך משתמשים והדרכה למודעות ממלאים תפקיד מכריע בהפחתת הסיכונים הנלווים של וקטורי תקיפה מתוחכמים אלה.

    מגמות

    הכי נצפה

    הונאת דוא"ל 'Gek Squad'

    Phishing, Spam
    33,767
    Geek Squad, ספקית תמיכה טכנית פופולרית, הפכה לקורבן של הונאת דיוג בשם Geek Squad Email Scam. הונאת התמיכה הטכנית הזו משתמשת בהודעות דוא"ל מזויפות שמרמות אנשים למסור את המידע האישי שלהם, כגון פרטי כרטיסי אשראי, כתובות דוא"ל ואפילו מספרי תעודת זהות. במאמר זה, נדון בהונאה עצמה, כיצד היא נראית, מאיפה מגיעים האימיילים המזויפים, מה הרמאים רוצים וכיצד להגן על עצמך מפני נפילת קורבן להונאה זו. מהי הונאת...
    טוען...