HijackLoader

Utplasseringen av HijackLoader av trusselaktører har blitt stadig mer utbredt på grunn av dens effektivitet i å injisere ondsinnet kode i legitime prosesser, noe som letter diskret utførelse av nyttelast. Denne teknikken lar dem unngå oppdagelse ved å bruke pålitelige applikasjoner for usikre aktiviteter, og skaper et mer utfordrende miljø for sikkerhetstiltak for å identifisere og motvirke trusselen effektivt. Observasjoner fra forskere avslører tilfeller av HijackLoader (også kjent som IDAT Loader) som bruker sofistikerte teknikker for å unngå deteksjon.

HijackLoader viser utviklet truende egenskaper

Forskere har identifisert utviklingen av HijackLoader, med nye forsvarsunndragelsesteknikker som prosessuthuling, rørutløst aktivering og en kombinasjon av prosessdoppelganging. Disse forbedringene forbedrer dens snikhet og kompleksitet, og gjør det mer utfordrende å analysere. I tillegg bruker skadevaren ekstra avkrokingsteknikker, noe som ytterligere bidrar til dens unnvikende evner.

Den sofistikerte HijackLoader starter sine operasjoner gjennom streaming_client.exe, som tilslører en konfigurasjon for å hindre statisk analyse. Ved å bruke WinHTTP API-er, tester den Internett-tilkobling ved å kontakte https://nginx.org. Ved vellykket tilkobling henter den en andre trinns konfigurasjon fra en ekstern server.

Når den er utstyrt med andre trinns konfigurasjon, skanner skadevare etter PNG-headerbyte og en spesifikk magisk verdi. Deretter dekrypterer den informasjonen ved hjelp av XOR og dekomprimerer den gjennom RtlDecompressBuffer API. Det neste trinnet innebærer å laste inn en legitim Windows DLL spesifisert i konfigurasjonen, og skrive shellcode til .text-delen for kjøring. Den bruker Heaven's Gate for å omgå brukermoduskroker og injiserer ytterligere skallkoder i cmd.exe. Tredje-trinns shellcode injiserer en endelig nyttelast, som et Cobalt Strike- beacon, inn i logagent.exe ved hjelp av prosessuthulling.

HijackLoader bruker forskjellige unnvikelsesstrategier, inkludert Heaven's Gate-krokbypass og avkroking av DLL-er overvåket av sikkerhetsverktøy. Den benytter prosessuthullingsvariasjoner og transaktert uthuling for injeksjon, og kombinerer transaksjonert seksjon og prosessdoppelganging med DLL-uthuling for å unngå deteksjon ytterligere.

HijackLoader er utstyrt med flere anti-deteksjonsteknikker

De primære unnvikelsesteknikkene som brukes av HijackLoader og Shellcode inkluderer:

• Hook Bypass:
• Himmelens gate
• Avkroking
• Prosess uthulingsvariasjon

Bruken av HijackLoader understreker den kritiske betydningen av proaktive cybersikkerhetstiltak for å identifisere og forhindre slike skjulte angrep.

Organisasjoner bør legge vekt på rutinemessige sikkerhetsrevisjoner, implementere robust endepunktbeskyttelse og holde seg informert om nye trusler for å forsvare seg mot den utviklende taktikken som brukes av dårlige aktører effektivt.

I tillegg til disse tiltakene, spiller brukeropplæring og bevisstgjøringstrening en avgjørende rolle for å redusere de tilknyttede risikoene ved disse sofistikerte angrepsvektorene.