HijackLoader

합법적인 프로세스에 악성 코드를 주입하여 페이로드의 신중한 실행을 촉진하는 효율성으로 인해 위협 행위자에 의한 HijackLoader 배포가 점점 더 널리 퍼지고 있습니다. 이 기술을 사용하면 안전하지 않은 활동에 대해 신뢰할 수 있는 애플리케이션을 활용하여 탐지를 피할 수 있으며, 위협을 효과적으로 식별하고 대응하기 위한 보안 조치를 위한 더욱 까다로운 환경을 조성할 수 있습니다. 연구원들의 관찰에 따르면 탐지를 회피하기 위해 정교한 기술을 사용하는 HijackLoader(IDAT 로더라고도 함)의 사례가 밝혀졌습니다.

HijackLoader는 진화된 위협 기능을 보여줍니다.

연구원들은 프로세스 공동화, 파이프 트리거 활성화 및 프로세스 도플갱징의 조합과 같은 새로운 방어 회피 기술을 통합하는 HijackLoader의 진화를 확인했습니다. 이러한 향상된 기능으로 인해 은밀성과 복잡성이 향상되어 분석이 더욱 어려워졌습니다. 또한 이 악성코드는 추가적인 언후킹 기술을 사용하여 회피 능력을 더욱 강화합니다.

정교한 HijackLoader는 정적 분석을 방해하기 위해 구성을 난독화하는 Streaming_client.exe를 통해 작업을 시작합니다. WinHTTP API를 활용하여 https://nginx.org에 접속하여 인터넷 연결을 테스트합니다. 연결이 성공하면 원격 서버에서 2단계 구성을 검색합니다.

2단계 구성이 완료되면 악성코드는 PNG 헤더 바이트와 특정 마법 값을 검색합니다. 그런 다음 XOR을 사용하여 정보를 해독하고 RtlDecompressBuffer API를 통해 압축을 푼다. 다음 단계에서는 구성에 지정된 합법적인 Windows DLL을 로드하고 실행을 위해 .text 섹션에 쉘코드를 작성합니다. 사용자 모드 후크를 우회하기 위해 Heaven's Gate를 사용하고 cmd.exe에 추가 쉘코드를 삽입합니다. 3단계 쉘코드는 프로세스 비우기를 사용하여 Cobalt Strike 비콘과 같은 최종 페이로드를 logagent.exe에 주입합니다.

HijackLoader는 보안 도구로 모니터링되는 Heaven's Gate 후크 우회 및 언후킹 DLL을 포함한 다양한 회피 전략을 사용합니다. 이는 주입을 위해 프로세스 할로잉 변형과 트랜잭션된 할로잉을 활용하고, 트랜잭션된 섹션과 프로세스 도플갱징을 DLL 할로잉과 결합하여 탐지를 더욱 회피합니다.

HijackLoader에는 다양한 탐지 방지 기술이 탑재되어 있습니다

HijackLoader 및 Shellcode가 사용하는 주요 회피 기술은 다음과 같습니다.

• 후크 바이패스:
• 천국의 문
• 풀기
• 공정 공동화 변형

HijackLoader의 활용은 이러한 은밀한 공격을 식별하고 방지하기 위한 사전 예방적인 사이버 보안 조치의 중요성을 강조합니다.

조직은 정기적인 보안 감사에 중점을 두고, 강력한 엔드포인트 보호를 구현하고, 새로운 위협에 대한 최신 정보를 유지하여 악의적인 공격자가 사용하는 진화하는 전술을 효과적으로 방어해야 합니다.

이러한 조치 외에도 사용자 교육 및 인식 훈련은 이러한 정교한 공격 벡터와 관련된 위험을 완화하는 데 중요한 역할을 합니다.