HijackLoader
धम्की कारकहरू द्वारा हाइज्याकलोडरको तैनाती वैध प्रक्रियाहरूमा मालिसियस कोड इन्जेक्सन गर्ने प्रभावकारिताको कारणले बढ्दो प्रचलित भएको छ। यस प्रविधिले उनीहरूलाई असुरक्षित गतिविधिहरूको लागि विश्वसनीय अनुप्रयोगहरू प्रयोग गरेर पत्ता लगाउनबाट बच्न अनुमति दिन्छ, सुरक्षा उपायहरूको लागि थप चुनौतीपूर्ण वातावरण सिर्जना गरी खतरालाई प्रभावकारी रूपमा पहिचान गर्न र प्रतिरोध गर्न। अनुसन्धानकर्ताहरूका अवलोकनहरूले हाइज्याकलोडर (IDAT लोडरको रूपमा पनि चिनिन्छ) पत्ता लगाउनबाट बच्न परिष्कृत प्रविधिहरू प्रयोग गर्ने उदाहरणहरू प्रकट गर्दछ।
HijackLoader विकसित धम्की दिने क्षमताहरू प्रदर्शन गर्दछ
अनुसन्धानकर्ताहरूले हाइज्याकलोडरको विकासको पहिचान गरेका छन्, नयाँ रक्षा चोरी प्रविधिहरू समावेश गर्दै जस्तै प्रक्रिया होलोइङ, पाइप-ट्रिगर सक्रियता, र प्रक्रिया डोप्पेलग्याङ्गिङको संयोजन। यी संवर्द्धनहरूले यसको गुप्तता र जटिलतालाई बढाउँछ, विश्लेषणलाई थप चुनौतीपूर्ण बनाउँछ। थप रूपमा, मालवेयरले अतिरिक्त अनहुकिंग प्रविधिहरू प्रयोग गर्दछ, जसले यसको बचाउने क्षमताहरूमा थप योगदान गर्दछ।
परिष्कृत HijackLoader ले streaming_client.exe मार्फत आफ्नो कार्यहरू प्रारम्भ गर्छ, जसले स्थिर विश्लेषणलाई विफल पार्न कन्फिगरेसनलाई अस्पष्ट बनाउँछ। WinHTTP APIs को उपयोग गरेर, यसले https://nginx.org मा पुगेर इन्टरनेट जडानको परीक्षण गर्दछ। सफल जडानमा, यसले रिमोट सर्भरबाट दोस्रो चरणको कन्फिगरेसन पुन: प्राप्त गर्दछ।
दोस्रो चरणको कन्फिगरेसनसँग सुसज्जित भएपछि, मालवेयरले PNG हेडर बाइटहरू र एक विशिष्ट जादुई मानको लागि स्क्यान गर्दछ। पछि, यसले XOR प्रयोग गरेर जानकारी डिक्रिप्ट गर्छ र RtlDecompressBuffer API मार्फत यसलाई डिकम्प्रेस गर्छ। अर्को चरणमा कन्फिगरेसनमा निर्दिष्ट गरिएको वैध विन्डोज DLL लोड गर्ने, कार्यान्वयनको लागि यसको .text खण्डमा शेलकोड लेख्ने समावेश छ। यसले प्रयोगकर्ता मोड हुकहरू रोक्न स्वर्गको गेटलाई रोजगार दिन्छ र cmd.exe मा थप शेलकोडहरू इन्जेक्ट गर्दछ। तेस्रो-चरण शेलकोडले अन्तिम पेलोड, कोबाल्ट स्ट्राइक बीकन जस्तै, प्रक्रिया खोक्रो प्रयोग गरेर logagent.exe मा इन्जेक्ट गर्दछ।
HijackLoader ले हेभेन्स गेट हुक बाइपास र सुरक्षा उपकरणहरूद्वारा अनुगमन गरिएको DLLs अनहुकिङ सहित विभिन्न चोरी रणनीतिहरू प्रयोग गर्दछ। यसले प्रक्रिया खोक्रो भिन्नताहरू र इंजेक्शनको लागि ट्रान्जेक्टेड होलोइङ्गको प्रयोग गर्दछ, लेनदेन गरिएको खण्ड र प्रक्रिया डोप्पेलगिङलाई DLL होलोइङसँग जोडेर थप पत्ता लगाउनबाट बच्न।
HijackLoader धेरै विरोधी पत्ता लगाउने प्रविधिहरूसँग सुसज्जित छ
HijackLoader र Shellcode द्वारा नियोजित प्राथमिक चोरी प्रविधिहरू समावेश छन्:
- हुक बाइपास:
- स्वर्गको ढोका
- अनहुकिंग
- प्रक्रिया खोक्रो भिन्नता
- अन्तरक्रियात्मक प्रक्रिया खोक्रो भिन्नता:
- Tradecraft विश्लेषण
- लेनदेन होलोइङ (कारोबार गरिएको खण्ड/डोप्पेलगेन्जर + होलोइङ)
- लेनदेन खण्ड होलोइङ
- खोक्रो प्रक्रिया
HijackLoader को उपयोगले त्यस्ता गोप्य आक्रमणहरू पहिचान गर्न र रोक्नको लागि सक्रिय साइबर सुरक्षा उपायहरूको महत्वपूर्ण महत्त्वलाई जोड दिन्छ।
संस्थाहरूले नियमित सुरक्षा लेखा परीक्षणमा जोड दिनुपर्छ, बलियो अन्तिम बिन्दु सुरक्षा लागू गर्नुपर्दछ, र खराब दिमागका अभिनेताहरूले प्रभावकारी रूपमा नियोजित विकसित रणनीतिहरू विरुद्ध रक्षा गर्न उदाउँदो खतराहरूको बारेमा सूचित रहनु पर्छ।
यी उपायहरूको अतिरिक्त, प्रयोगकर्ता शिक्षा र जागरूकता प्रशिक्षणले यी परिष्कृत आक्रमण भेक्टरहरूको सम्बद्ध जोखिमहरूलाई कम गर्न महत्त्वपूर्ण भूमिका खेल्छ।
