HijackLoader

„HijackLoader“ diegimas grėsmės dalyvių tapo vis labiau paplitęs dėl jo veiksmingumo įvedant kenkėjišką kodą į teisėtus procesus, palengvinant diskretišką naudingų krovinių vykdymą. Ši technika leidžia jiems išvengti aptikimo naudojant patikimas programas nesaugiai veiklai, sukuriant sudėtingesnę aplinką saugumo priemonėms, kurios padeda veiksmingai nustatyti grėsmę ir jai kovoti. Tyrėjų stebėjimai atskleidžia HijackLoader (dar žinomo kaip IDAT Loader) atvejus, naudojant sudėtingus metodus, kad išvengtų aptikimo.

„HijackLoader“ demonstruoja patobulintas grėsmę keliančias galimybes

Tyrėjai nustatė „HijackLoader“ evoliuciją, apimančią naujus gynybos vengimo metodus, tokius kaip proceso tuščiaviduris, vamzdžio suaktyvinimas ir proceso derinimo derinys. Šie patobulinimai padidina jo slaptumą ir sudėtingumą, todėl analizuoti tampa sudėtingiau. Be to, kenkėjiška programinė įranga naudoja papildomus atkabinimo būdus, kurie dar labiau prisideda prie jos išvengimo galimybių.

Sudėtingas HijackLoader pradeda savo operacijas per streaming_client.exe, kuri užtemdo konfigūraciją, kad sutrukdytų statinei analizei. Naudodamas WinHTTP API, jis išbando interneto ryšį, susisiekdamas su https://nginx.org. Sėkmingai prisijungus, jis nuskaito antrojo etapo konfigūraciją iš nuotolinio serverio.

Kai įdiegta antrojo etapo konfigūracija, kenkėjiška programa nuskaito PNG antraštės baitus ir konkrečią magišką reikšmę. Vėliau ji iššifruoja informaciją naudodama XOR ir išskleidžia ją per RtlDecompressBuffer API. Kitas veiksmas apima konfigūracijoje nurodyto teisėto Windows DLL įkėlimą, apvalkalo kodo įrašymą į jo .text sekciją, kad ji būtų vykdoma. Jis naudoja Heaven's Gate, kad apeitų vartotojo režimo kabliukus ir įterpia papildomus apvalkalo kodus į cmd.exe. Trečios pakopos apvalkalo kodas įterpia galutinę naudingąją apkrovą, pavyzdžiui, „Cobalt Strike“ švyturėlį, į logagent.exe, naudodamas proceso tuščiavidurį.

„HijackLoader“ taiko įvairias vengimo strategijas, įskaitant „Heaven's Gate“ kablio apėjimą ir saugos įrankių stebimų DLL atjungimą. Jame naudojami proceso ištuštinimo variantai ir atliktas ištuštinimas įpurškimui, sujungiant operuotą skyrių ir proceso susiejimą su DLL tuščiaviduriu, kad būtų išvengta aptikimo.

HijackLoader aprūpintas keliomis apsaugos nuo aptikimo technikomis

HijackLoader ir Shellcode naudojami pagrindiniai vengimo būdai:

• Kablio aplinkkelis:
• Dangaus vartai
• Atkabinimas
• Proceso įdubimo variacija

„HijackLoader“ naudojimas pabrėžia aktyvių kibernetinio saugumo priemonių svarbą, siekiant nustatyti ir užkirsti kelią tokioms slaptoms atakoms.

Organizacijos turėtų skirti ypatingą dėmesį įprastiems saugumo auditams, įdiegti patikimą galutinio punkto apsaugą ir būti informuotos apie kylančias grėsmes, kad galėtų veiksmingai apsiginti nuo besikeičiančios taktikos, kurią taiko blogai mąstantys veikėjai.

Be šių priemonių, vartotojų švietimas ir sąmoningumo ugdymas atlieka labai svarbų vaidmenį mažinant su šiais sudėtingais atakų vektoriais susijusią riziką.