HijackLoader

A HijackLoader fenyegetés szereplők általi telepítése egyre elterjedtebbé vált, mivel hatékonyan juttatja be a rosszindulatú kódokat a legitim folyamatokba, megkönnyítve ezzel a hasznos terhek diszkrét végrehajtását. Ez a technika lehetővé teszi számukra, hogy elkerüljék az észlelést azáltal, hogy megbízható alkalmazásokat használnak a nem biztonságos tevékenységekhez, és nagyobb kihívást jelentő környezetet teremtenek a biztonsági intézkedések számára a fenyegetés azonosítására és hatékony leküzdésére. A kutatók megfigyelései feltárják a HijackLoader (más néven IDAT Loader) eseteit, amelyek kifinomult technikákat alkalmaznak az észlelés elkerülésére.

A HijackLoader fejlett fenyegetési képességeket mutat be

A kutatók azonosították a HijackLoader evolúcióját, amely olyan új védelmi kijátszási technikákat foglal magában, mint például a folyamatürítés, a cső által kiváltott aktiválás és a folyamatok összekapcsolása. Ezek a fejlesztések fokozzák annak lopakodóságát és összetettségét, így az elemzés nagyobb kihívást jelent. Ezen túlmenően a rosszindulatú program extra leválasztási technikákat alkalmaz, ami tovább járul hozzá a kikerülési képességeihez.

A kifinomult HijackLoader a streaming_client.exe fájlon keresztül kezdeményezi működését, amely elhomályosítja a konfigurációt, hogy meghiúsítsa a statikus elemzést. A WinHTTP API-k használatával teszteli az internetkapcsolatot a https://nginx.org címen. Sikeres kapcsolódás esetén lekéri a második szakasz konfigurációját egy távoli kiszolgálóról.

A második szakasz konfigurációjával a kártevő PNG fejlécbájtokat és egy adott mágikus értéket keres. Ezt követően XOR használatával dekódolja az információkat, és az RtlDecompressBuffer API-n keresztül kicsomagolja. A következő lépés a konfigurációban megadott legitim Windows DLL betöltése, a shellkód beírása a .text szakaszába végrehajtás céljából. A Heaven's Gate segítségével megkerüli a felhasználói mód hoojait, és további shellkódokat szúr be a cmd.exe fájlba. A harmadik szakasz shellkódja a folyamatürítéssel egy végső hasznos adatot, például egy Cobalt Strike jeladót injektál a logagent.exe fájlba.

A HijackLoader különféle kijátszási stratégiákat alkalmaz, beleértve a Heaven's Gate hook bypass-át és a biztonsági eszközök által felügyelt DLL-ek eltávolítását. A folyamat üregesedési variációit és a tranzaktált üreges befecskendezést alkalmazza, kombinálva a feldolgozott metszeteket és a folyamat duplázását a DLL kiürítéssel az észlelés további elkerülése érdekében.

A HijackLoader többféle észlelési technikával van felszerelve

A HijackLoader és a Shellcode által alkalmazott elsődleges kijátszási technikák a következők:

• Hook Bypass:
• Mennyország kapuja
• Kiakasztás
• Process Hollowing Variation

A HijackLoader használata aláhúzza a proaktív kiberbiztonsági intézkedések kritikus fontosságát az ilyen burkolt támadások azonosítása és megelőzése érdekében.

A szervezeteknek hangsúlyt kell helyezniük a rutin biztonsági auditokra, robusztus végpontvédelmet kell alkalmazniuk, és tájékozódniuk kell a felmerülő fenyegetésekről, hogy hatékonyan védekezhessenek a rossz gondolkodású szereplők által alkalmazott taktikák fejlődésével szemben.

Ezeken az intézkedéseken túlmenően a felhasználói oktatás és a figyelemfelkeltő tréning döntő szerepet játszik e kifinomult támadási vektorok kapcsolódó kockázatainak mérséklésében.