HijackLoader

Implementacija HijackLoadera od strane aktera prijetnji postala je sve raširenija zbog njegove učinkovitosti u ubacivanju zlonamjernog koda u legitimne procese, olakšavajući diskretno izvršavanje korisnih opterećenja. Ova tehnika im omogućuje da izbjegnu otkrivanje korištenjem pouzdanih aplikacija za nesigurne aktivnosti, stvarajući izazovnije okruženje za sigurnosne mjere za prepoznavanje i učinkovito suprotstavljanje prijetnji. Promatranja istraživača otkrivaju slučajeve HijackLoadera (također poznatog kao IDAT Loader) koji koristi sofisticirane tehnike kako bi izbjegao otkrivanje.

HijackLoader pokazuje razvijene prijeteće sposobnosti

Istraživači su identificirali evoluciju HijackLoadera, uključujući nove obrambene tehnike izbjegavanja kao što su udubljenje procesa, aktivacija pokrenuta cijevima i kombinacija dvojnog procesa. Ova poboljšanja povećavaju njegovu skrivenost i složenost, čineći analizu još izazovnijom. Osim toga, zlonamjerni softver koristi dodatne tehnike odvajanja, što dodatno pridonosi njegovim sposobnostima izbjegavanja.

Sofisticirani HijackLoader pokreće svoje operacije putem streaming_client.exe, koji maskira konfiguraciju kako bi spriječio statičku analizu. Koristeći WinHTTP API-je, testira internetsku povezanost posežući na https://nginx.org. Nakon uspješne veze, dohvaća konfiguraciju drugog stupnja s udaljenog poslužitelja.

Nakon što je opremljen drugom fazom konfiguracije, zlonamjerni softver skenira za PNG bajtove zaglavlja i određenu magičnu vrijednost. Nakon toga dekriptira informacije pomoću XOR-a i dekomprimira ih putem API-ja RtlDecompressBuffer. Sljedeći korak uključuje učitavanje legitimnog Windows DLL-a navedenog u konfiguraciji, pisanje shellcode-a u njegovu .text sekciju za izvršenje. Koristi Heaven's Gate za zaobilaženje kuka korisničkog načina rada i ubacuje dodatne shell kodove u cmd.exe. Shellcode trećeg stupnja ubacuje konačni korisni teret, poput Cobalt Strike signala, u logagent.exe koristeći proces hollowing.

HijackLoader koristi različite strategije izbjegavanja, uključujući Heaven's Gate zaobilaženje kuke i otkačivanje DLL-ova koje prate sigurnosni alati. Koristi varijacije udubljivanja procesa i udubljivanja u transakcijama za ubrizgavanje, kombinirajući udvostručenje sekcija u transakcijama i procesa s udubljivanjem DLL-a kako bi se dodatno izbjeglo otkrivanje.

HijackLoader je opremljen s višestrukim tehnikama protiv otkrivanja

Primarne tehnike izbjegavanja koje koriste HijackLoader i Shellcode uključuju:

• Premosnica kuke:
• Nebeska vrata
• Otkačivanje
• Varijanta procesa udubljenja

Korištenje HijackLoadera naglašava ključnu važnost proaktivnih mjera kibernetičke sigurnosti za prepoznavanje i sprječavanje takvih potajnih napada.

Organizacije bi trebale staviti naglasak na rutinske sigurnosne revizije, implementirati robusnu zaštitu krajnjih točaka i biti informirane o prijetnjama u nastajanju kako bi se učinkovito obranile od taktika koje koriste nedobronamjerni akteri.

Uz ove mjere, obrazovanje korisnika i obuka za podizanje svijesti igraju ključnu ulogu u ublažavanju povezanih rizika ovih sofisticiranih vektora napada.