Multi-License Discount Quote
Draudu datu bāze Malware HijackLoader

HijackLoader

Līdz Mezo. gadam Malware. gadā
Tulkot uz:
Latviešu

HijackLoader izvietošana, ko veic apdraudējuma dalībnieki, ir kļuvusi arvien izplatītāka, jo tā efektīvi iepludina ļaunprātīgu kodu likumīgos procesos, atvieglojot diskrētu lietderīgās slodzes izpildi. Šis paņēmiens ļauj viņiem izvairīties no atklāšanas, izmantojot uzticamas lietojumprogrammas nedrošām darbībām, radot sarežģītāku vidi drošības pasākumiem, lai efektīvi identificētu un novērstu draudus. Pētnieku novērojumi atklāj HijackLoader (pazīstams arī kā IDAT Loader) gadījumus, kas izmanto sarežģītas metodes, lai izvairītos no atklāšanas.

HijackLoader demonstrē attīstījušās draudu iespējas

Pētnieki ir identificējuši HijackLoader attīstību, iekļaujot jaunus aizsardzības izvairīšanās paņēmienus, piemēram, procesa dobumu, cauruļu aktivizētu aktivizēšanu un procesa dublēšanas kombināciju. Šie uzlabojumi uzlabo tā slepenību un sarežģītību, padarot analīzi grūtāku. Turklāt ļaunprātīgā programmatūra izmanto papildu atvienošanas paņēmienus, kas vēl vairāk veicina tās izvairīšanās iespējas.

Sarežģītais HijackLoader sāk savas darbības, izmantojot streaming_client.exe, kas aptumšo konfigurāciju, lai kavētu statisko analīzi. Izmantojot WinHTTP API, tas pārbauda interneta savienojumu, sasniedzot vietni https://nginx.org. Pēc veiksmīga savienojuma tas izgūst otrās pakāpes konfigurāciju no attālā servera.

Kad ļaunprogrammatūra ir aprīkota ar otrās pakāpes konfigurāciju, tā skenē PNG galvenes baitus un noteiktu maģisko vērtību. Pēc tam tas atšifrē informāciju, izmantojot XOR, un atspiež to, izmantojot RtlDecompressBuffer API. Nākamais solis ietver konfigurācijā norādītā likumīga Windows DLL ielādi, čaulas koda ierakstīšanu tās .text sadaļā izpildei. Tas izmanto Heaven's Gate, lai apietu lietotāja režīma āķus un ievadītu papildu čaulas kodus cmd.exe. Trešās pakāpes čaulas kods ievada pēdējo lietderīgo slodzi, piemēram , Cobalt Strike bāku, logagent.exe, izmantojot procesa dobumu.

HijackLoader izmanto dažādas izvairīšanās stratēģijas, tostarp Heaven's Gate āķa apiešanu un DLL atvienošanu, ko uzrauga drošības rīki. Tas izmanto procesa dobuma variācijas un transakciju dobumu ievadīšanai, apvienojot veiktās sadaļas un procesa dublēšanu ar DLL dobumu, lai izvairītos no atklāšanas.

HijackLoader ir aprīkots ar vairākām pretatklāšanas metodēm

Galvenās izvairīšanās metodes, ko izmanto HijackLoader un Shellcode, ietver:

  • Āķa apvedceļš:
  • Debesu vārti
  • Atkabināšana
  • Procesa dobuma variācija
  • Interaktīvā procesa dobuma variācija:
  • Tradecraft analīze
  • Darījuma izgriešana (Transacted Section/Doppelgänger + Hollowing)
  • Transacted sadaļa Dobšana
  • Dobšanas process

    • HijackLoader izmantošana uzsver proaktīvu kiberdrošības pasākumu kritisko nozīmi, lai identificētu un novērstu šādus slēptus uzbrukumus.

    Organizācijām būtu jāliek uzsvars uz kārtējiem drošības auditiem, jāievieš stabila beigu punktu aizsardzība un jāinformē par jauniem draudiem, lai efektīvi aizsargātos pret attīstošo taktiku, ko izmanto slikti domājoši dalībnieki.

    Papildus šiem pasākumiem lietotāju izglītošanai un izpratnes veidošanai ir izšķiroša nozīme šo sarežģīto uzbrukuma vektoru saistīto risku mazināšanā.

    Tendences

    Visvairāk skatīts

    “Geek Squad” e-pasta krāpniecība

    Phishing, Spam
    33,767
    Populārs tehniskā atbalsta sniedzējs Geek Squad ir kļuvis par pikšķerēšanas krāpniecības upuri, ko sauc par Geek Squad e-pasta krāpniecību. Šajā tehniskā atbalsta krāpniecībā tiek izmantoti viltoti e-pasta ziņojumi, kas liek cilvēkiem izpaust savu personisko informāciju, piemēram, kredītkartes datus, e-pasta adreses un pat sociālās apdrošināšanas numurus. Šajā rakstā mēs apspriedīsim pašu...
    Notiek ielāde...