HijackLoader

ការដាក់ពង្រាយ HijackLoader ដោយតួអង្គគម្រាមកំហែងបានក្លាយទៅជារីករាលដាលកាន់តែខ្លាំងឡើង ដោយសារតែប្រសិទ្ធភាពរបស់វាក្នុងការបញ្ចូលកូដព្យាបាទទៅក្នុងដំណើរការស្របច្បាប់ ដែលជួយសម្រួលដល់ការប្រតិបត្តិដោយប្រុងប្រយ័ត្ននៃបន្ទុក។ បច្ចេកទេសនេះអនុញ្ញាតឱ្យពួកគេជៀសវាងការរកឃើញដោយប្រើប្រាស់កម្មវិធីដែលអាចទុកចិត្តបានសម្រាប់សកម្មភាពដែលមិនមានសុវត្ថិភាព បង្កើតបរិយាកាសលំបាកជាងមុនសម្រាប់វិធានការសុវត្ថិភាពដើម្បីកំណត់អត្តសញ្ញាណ និងប្រឆាំងការគំរាមកំហែងប្រកបដោយប្រសិទ្ធភាព។ ការសង្កេតដោយអ្នកស្រាវជ្រាវបង្ហាញពីឧទាហរណ៍នៃ HijackLoader (ត្រូវបានគេស្គាល់ថាជា IDAT Loader) ដែលប្រើបច្ចេកទេសទំនើបដើម្បីគេចពីការរកឃើញ។

HijackLoader បង្ហាញសមត្ថភាពគំរាមកំហែងវិវត្តន៍

អ្នកស្រាវជ្រាវបានកំណត់អត្តសញ្ញាណការវិវត្តន៍របស់ HijackLoader ដោយរួមបញ្ចូលនូវបច្ចេកទេសគេចវេសពីការការពារថ្មី ដូចជាដំណើរការប្រហោង ការធ្វើឱ្យសកម្មដោយបំពង់ និងការរួមបញ្ចូលគ្នានៃដំណើរការ doppelging ។ ការកែលម្អទាំងនេះបង្កើនភាពលាក់កំបាំង និងភាពស្មុគស្មាញរបស់វា ធ្វើឱ្យការវិភាគកាន់តែពិបាក។ លើសពីនេះ Malware ប្រើបច្ចេកទេសមិនដំណើរការបន្ថែម ដែលរួមចំណែកបន្ថែមទៀតដល់សមត្ថភាពគេចវេសរបស់វា។

HijackLoader ដ៏ទំនើបចាប់ផ្តើមប្រតិបត្តិការរបស់ខ្លួនតាមរយៈ streaming_client.exe ដែលធ្វើអោយមានការភ័ន្តច្រឡំដល់ការកំណត់រចនាសម្ព័ន្ធដើម្បីរារាំងការវិភាគឋិតិវន្ត។ ដោយប្រើ WinHTTP APIs វាសាកល្បងការភ្ជាប់អ៊ីនធឺណិតដោយចូលទៅកាន់គេហទំព័រ https://nginx.org ។ នៅពេលភ្ជាប់បានជោគជ័យ វាទាញយកការកំណត់រចនាសម្ព័ន្ធដំណាក់កាលទីពីរពីម៉ាស៊ីនមេពីចម្ងាយ។

នៅពេលដែលបានបំពាក់ជាមួយការកំណត់រចនាសម្ព័ន្ធដំណាក់កាលទីពីរ មេរោគនឹងស្កេនរកបៃក្បាល PNG និងតម្លៃវេទមន្តជាក់លាក់មួយ។ ក្រោយមក វាឌិគ្រីបព័ត៌មានដោយប្រើ XOR ហើយពន្លាវាតាមរយៈ RtlDecompressBuffer API ។ ជំហានបន្ទាប់ពាក់ព័ន្ធនឹងការផ្ទុក Windows DLL ស្របច្បាប់ដែលបានបញ្ជាក់នៅក្នុងការកំណត់រចនាសម្ព័ន្ធ ដោយសរសេរកូដសែលទៅផ្នែក .text របស់វាសម្រាប់ការប្រតិបត្តិ។ វាប្រើប្រាស់ Heaven's Gate ដើម្បីគេចពីទំពក់របៀបអ្នកប្រើប្រាស់ និងបញ្ចូលលេខកូដសែលបន្ថែមទៅក្នុង cmd.exe ។ shellcode ដំណាក់កាលទីបីចាក់បញ្ចូលបន្ទុកចុងក្រោយដូចជា Cobalt Strike beacon ចូលទៅក្នុង logagent.exe ដោយប្រើដំណើរការប្រហោង។

HijackLoader ប្រើយុទ្ធសាស្រ្តគេចវេសជាច្រើន រួមទាំងផ្លូវវាងនៃ Heaven's Gate hook និង Unhooking DLLs ដែលត្រួតពិនិត្យដោយឧបករណ៍សុវត្ថិភាព។ វាប្រើប្រាស់ដំណើរការបំរែបំរួលប្រហោង និងដំណើរការប្រហោងសម្រាប់ការចាក់ រួមបញ្ចូលគ្នានូវផ្នែកដែលបានធ្វើប្រតិបត្តិការ និងដំណើរការdoppelgänging ជាមួយ DLL hollowing ដើម្បីគេចពីការរកឃើញបន្ថែមទៀត។

HijackLoader ត្រូវបានបំពាក់ដោយបច្ចេកទេសប្រឆាំងការរកឃើញច្រើន។

បច្ចេកទេសគេចវេសបឋមដែលប្រើដោយ HijackLoader និង Shellcode រួមមាន:

• Hook Bypass៖
• ច្រកទ្វារឋានសួគ៌
• ដោះសោ
• ដំណើរការបំរែបំរួលប្រហោង
• ដំណើរការអន្តរកម្ម ការប្រែប្រួលប្រហោង៖

• ការវិភាគពាណិជ្ជកម្ម

• Transacted Hollowing (ផ្នែកប្រតិបត្តិការ / Doppelgänger + Hollowing)

• ផ្នែកប្រតិបត្តិការប្រហោង

• ដំណើរការប្រហោង

ការប្រើប្រាស់ HijackLoader គូសបញ្ជាក់ពីសារៈសំខាន់ដ៏សំខាន់នៃវិធានការសន្តិសុខតាមអ៊ីនធឺណិតសកម្ម ដើម្បីកំណត់អត្តសញ្ញាណ និងការពារការវាយប្រហារដែលគួរឱ្យខ្លាចបែបនេះ។

អង្គការគួរតែសង្កត់ធ្ងន់លើការធ្វើសវនកម្មសុវត្ថិភាពជាប្រចាំ អនុវត្តការការពារចំណុចបញ្ចប់ដ៏រឹងមាំ និងទទួលបានព័ត៌មានអំពីការគំរាមកំហែងដែលកំពុងកើតមានដើម្បីការពារប្រឆាំងនឹងយុទ្ធសាស្ត្រវិវត្តដែលប្រើប្រាស់ដោយអ្នកប្រព្រឹត្តខុសប្រកបដោយប្រសិទ្ធភាព។

បន្ថែមពីលើវិធានការទាំងនេះ ការអប់រំអ្នកប្រើប្រាស់ និងការបណ្តុះបណ្តាលការយល់ដឹងដើរតួនាទីយ៉ាងសំខាន់ក្នុងការកាត់បន្ថយហានិភ័យដែលពាក់ព័ន្ធនៃវ៉ិចទ័រវាយប្រហារដ៏ទំនើបទាំងនេះ។