HijackLoader

Penggunaan HijackLoader oleh pelaku ancaman telah menjadi semakin berleluasa kerana keberkesanannya dalam menyuntik kod hasad ke dalam proses yang sah, memudahkan pelaksanaan muatan yang bijak. Teknik ini membolehkan mereka mengelakkan pengesanan dengan menggunakan aplikasi yang dipercayai untuk aktiviti tidak selamat, mewujudkan persekitaran yang lebih mencabar untuk langkah keselamatan untuk mengenal pasti dan menentang ancaman dengan berkesan. Pemerhatian oleh penyelidik mendedahkan kejadian HijackLoader (juga dikenali sebagai IDAT Loader) yang menggunakan teknik canggih untuk mengelakkan pengesanan.

HijackLoader Mempamerkan Keupayaan Mengancam Berubah

Penyelidik telah mengenal pasti evolusi HijackLoader, menggabungkan teknik pengelakan pertahanan baharu seperti proses hollowing, pengaktifan yang dicetuskan oleh paip, dan gabungan proses doppelganging. Penambahbaikan ini meningkatkan kesunyian dan kerumitannya, menjadikan analisis lebih mencabar. Selain itu, perisian hasad menggunakan teknik melepas cangkuk tambahan, seterusnya menyumbang kepada keupayaan mengelaknya.

HijackLoader yang canggih memulakan operasinya melalui streaming_client.exe, yang mengaburkan konfigurasi untuk menggagalkan analisis statik. Menggunakan WinHTTP API, ia menguji ketersambungan Internet dengan menghubungi https://nginx.org. Apabila sambungan berjaya, ia mendapatkan semula konfigurasi peringkat kedua daripada pelayan jauh.

Setelah dilengkapi dengan konfigurasi peringkat kedua, perisian hasad mengimbas bait pengepala PNG dan nilai ajaib tertentu. Selepas itu, ia menyahsulit maklumat menggunakan XOR dan menyahmampatnya melalui API RtlDecompressBuffer. Langkah seterusnya melibatkan memuatkan Windows DLL yang sah yang dinyatakan dalam konfigurasi, menulis kod shell ke bahagian .textnya untuk pelaksanaan. Ia menggunakan Heaven's Gate untuk memintas cangkuk mod pengguna dan menyuntik kod shell tambahan ke dalam cmd.exe. Kod shell peringkat ketiga menyuntik muatan akhir, seperti suar Cobalt Strike , ke dalam logagent.exe menggunakan proses hollowing.

HijackLoader menggunakan pelbagai strategi pengelakan, termasuk pintasan cangkuk Heaven's Gate dan DLL yang dilepaskan dipantau oleh alat keselamatan. Ia menggunakan variasi hollowing proses dan hollowing transaksi untuk suntikan, menggabungkan bahagian transaksi dan doppelgänging proses dengan hollowing DLL untuk mengelakkan pengesanan lebih lanjut.

HijackLoader Dilengkapi dengan Pelbagai Teknik Anti-pengesan

Teknik pengelakan utama yang digunakan oleh HijackLoader dan Shellcode termasuk:

• Pintasan Cangkuk:
• Pintu Syurga
• Membuka cangkuk
• Variasi Proses Hollowing

Penggunaan HijackLoader menggariskan kepentingan kritikal langkah keselamatan siber proaktif untuk mengenal pasti dan mencegah serangan sembunyi-sembunyi tersebut.

Organisasi harus memberi penekanan pada audit keselamatan rutin, melaksanakan perlindungan titik akhir yang teguh, dan sentiasa dimaklumkan tentang ancaman yang muncul untuk mempertahankan diri daripada taktik berkembang yang digunakan oleh aktor yang tidak berfikiran secara berkesan.

Selain daripada langkah-langkah ini, pendidikan pengguna dan latihan kesedaran memainkan peranan penting dalam mengurangkan risiko berkaitan vektor serangan canggih ini.