HijackLoader

वैध प्रक्रियाओं में दुर्भावनापूर्ण कोड डालने और पेलोड के विवेकपूर्ण निष्पादन की सुविधा प्रदान करने में इसकी प्रभावकारिता के कारण खतरनाक अभिनेताओं द्वारा हाईजैकलोडर की तैनाती तेजी से प्रचलित हो गई है। यह तकनीक उन्हें असुरक्षित गतिविधियों के लिए विश्वसनीय अनुप्रयोगों का उपयोग करके पहचान से बचने की अनुमति देती है, जिससे खतरे की पहचान करने और प्रभावी ढंग से मुकाबला करने के लिए सुरक्षा उपायों के लिए अधिक चुनौतीपूर्ण वातावरण तैयार होता है। शोधकर्ताओं के अवलोकन से हाईजैकलोडर (जिसे आईडीएटी लोडर के रूप में भी जाना जाता है) के उदाहरणों का पता चलता है, जो पता लगाने से बचने के लिए परिष्कृत तकनीकों का उपयोग करते हैं।

HijackLoader ने विकसित धमकी देने की क्षमताओं का प्रदर्शन किया

शोधकर्ताओं ने हाईजैकलोडर के विकास की पहचान की है, जिसमें नई रक्षा चोरी तकनीकों जैसे प्रक्रिया खोखलापन, पाइप-ट्रिगर सक्रियण और प्रक्रिया डोपेलगैंगिंग का संयोजन शामिल है। ये संवर्द्धन इसकी गुप्तता और जटिलता को बढ़ाते हैं, जिससे विश्लेषण अधिक चुनौतीपूर्ण हो जाता है। इसके अतिरिक्त, मैलवेयर अतिरिक्त अनहुकिंग तकनीकों का उपयोग करता है, जो इसकी टालने की क्षमताओं में और योगदान देता है।

परिष्कृत हाईजैकलोडर स्ट्रीमिंग_क्लाइंट.exe के माध्यम से अपना संचालन शुरू करता है, जो स्थैतिक विश्लेषण को विफल करने के लिए कॉन्फ़िगरेशन को अस्पष्ट करता है। WinHTTP API का उपयोग करते हुए, यह https://nginx.org पर पहुंचकर इंटरनेट कनेक्टिविटी का परीक्षण करता है। सफल कनेक्शन पर, यह एक दूरस्थ सर्वर से दूसरे चरण का कॉन्फ़िगरेशन पुनः प्राप्त करता है।

एक बार दूसरे चरण के कॉन्फिगरेशन से लैस होने के बाद, मैलवेयर पीएनजी हेडर बाइट्स और एक विशिष्ट मैजिक वैल्यू के लिए स्कैन करता है। इसके बाद, यह XOR का उपयोग करके जानकारी को डिक्रिप्ट करता है और RtlDecompressBuffer API के माध्यम से इसे डीकंप्रेस करता है। अगले चरण में कॉन्फ़िगरेशन में निर्दिष्ट वैध विंडोज़ डीएलएल को लोड करना, निष्पादन के लिए इसके .text अनुभाग में शेलकोड लिखना शामिल है। यह उपयोगकर्ता मोड हुक को रोकने के लिए हेवेन गेट का उपयोग करता है और cmd.exe में अतिरिक्त शेलकोड इंजेक्ट करता है। तीसरे चरण का शेलकोड प्रोसेस हॉलोइंग का उपयोग करके logagent.exe में कोबाल्ट स्ट्राइक बीकन की तरह एक अंतिम पेलोड इंजेक्ट करता है।

हाईजैकलोडर विभिन्न चोरी की रणनीतियों को नियोजित करता है, जिसमें हेवेन गेट हुक बाईपास और सुरक्षा उपकरणों द्वारा निगरानी किए गए डीएलएल को खोलना शामिल है। यह इंजेक्शन के लिए प्रोसेस होलोइंग विविधताओं और ट्रांज़ेक्टेड होलोइंग का उपयोग करता है, आगे का पता लगाने से बचने के लिए डीएलएल होलोइंग के साथ ट्रांजेक्टेड सेक्शन और प्रोसेस डोपेलगैंजिंग को जोड़ता है।

हाईजैकलोडर कई एंटी-डिटेक्शन तकनीकों से लैस है

HijackLoader और Shellcode द्वारा नियोजित प्राथमिक चोरी तकनीकों में शामिल हैं:

• हुक बाईपास:
• स्वर्ग का दरवाजा
• हुक खोलना
• प्रक्रिया खोखली भिन्नता
• इंटरैक्टिव प्रक्रिया खोखली भिन्नता:

• ट्रेडक्राफ्ट विश्लेषण

• लेन-देन खोखला (लेन-देन अनुभाग/डोपेलगैंगर + खोखला)

• लेन-देन अनुभाग खोखला है

• खोखला करने की प्रक्रिया

हाईजैकलोडर का उपयोग ऐसे गुप्त हमलों की पहचान करने और उन्हें रोकने के लिए सक्रिय साइबर सुरक्षा उपायों के महत्वपूर्ण महत्व को रेखांकित करता है।

संगठनों को नियमित सुरक्षा ऑडिट पर जोर देना चाहिए, मजबूत एंडपॉइंट सुरक्षा लागू करनी चाहिए, और बीमार दिमाग वाले अभिनेताओं द्वारा अपनाई जाने वाली उभरती रणनीति से प्रभावी ढंग से बचाव के लिए उभरते खतरों के बारे में सूचित रहना चाहिए।

इन उपायों के अलावा, उपयोगकर्ता शिक्षा और जागरूकता प्रशिक्षण इन परिष्कृत आक्रमण वैक्टरों से जुड़े जोखिमों को कम करने में महत्वपूर्ण भूमिका निभाते हैं।