HijackLoader

De inzet van HijackLoader door bedreigingsactoren is steeds gangbaarder geworden vanwege de doeltreffendheid ervan bij het injecteren van kwaadaardige code in legitieme processen, waardoor de discrete uitvoering van payloads wordt vergemakkelijkt. Met deze techniek kunnen ze detectie vermijden door vertrouwde applicaties te gebruiken voor onveilige activiteiten, waardoor een uitdagendere omgeving ontstaat voor beveiligingsmaatregelen om de dreiging effectief te identificeren en tegen te gaan. Waarnemingen door onderzoekers onthullen voorbeelden van HijackLoader (ook bekend als IDAT Loader) die geavanceerde technieken gebruikt om detectie te omzeilen.

HijackLoader vertoont geëvolueerde bedreigende mogelijkheden

Onderzoekers hebben de evolutie van HijackLoader geïdentificeerd, waarbij nieuwe technieken voor het ontwijken van verdediging zijn geïntegreerd, zoals procesuitholling, door pijpen geactiveerde activering en een combinatie van procesdubbelgang. Deze verbeteringen verbeteren de stealthie en complexiteit ervan, waardoor analyseren een grotere uitdaging wordt. Bovendien maakt de malware gebruik van extra onthaaktechnieken, wat verder bijdraagt aan de ontwijkingsmogelijkheden.

De geavanceerde HijackLoader initieert zijn activiteiten via streaming_client.exe, waardoor een configuratie wordt verdoezeld om statische analyse te dwarsbomen. Met behulp van WinHTTP API's test het de internetverbinding door contact op te nemen met https://nginx.org. Na een succesvolle verbinding haalt het een configuratie uit de tweede fase op van een externe server.

Eenmaal uitgerust met de tweede fase-configuratie, scant de malware op PNG-headerbytes en een specifieke magische waarde. Vervolgens decodeert het de informatie met behulp van XOR en decomprimeert het via de RtlDecompressBuffer API. De volgende stap omvat het laden van een legitieme Windows DLL die in de configuratie is opgegeven, en het schrijven van de shellcode naar de .text-sectie voor uitvoering. Het maakt gebruik van Heaven's Gate om hooks in de gebruikersmodus te omzeilen en injecteert extra shellcodes in cmd.exe. De shellcode van de derde fase injecteert een laatste lading, zoals een Cobalt Strike- baken, in logagent.exe met behulp van procesuitholling.

HijackLoader maakt gebruik van verschillende ontwijkingsstrategieën, waaronder Heaven's Gate hook bypass en het ontkoppelen van DLL's die worden gecontroleerd door beveiligingstools. Het maakt gebruik van procesuithollingsvariaties en transactieuitholling voor injectie, waarbij transactiesectie en procesdubbelgang worden gecombineerd met DLL-uitholling om detectie verder te omzeilen.

HijackLoader is uitgerust met meerdere antidetectietechnieken

De belangrijkste ontwijkingstechnieken die door HijackLoader en Shellcode worden gebruikt, zijn onder meer:

• Haak-bypass:
• Hemels poort
• Onthaken
• Procesuithollingsvariatie

Het gebruik van HijackLoader onderstreept het cruciale belang van proactieve cyberbeveiligingsmaatregelen om dergelijke sluipende aanvallen te identificeren en te voorkomen.

Organisaties moeten de nadruk leggen op routinematige beveiligingsaudits, robuuste eindpuntbescherming implementeren en op de hoogte blijven van opkomende bedreigingen om zich effectief te kunnen verdedigen tegen de evoluerende tactieken die door kwaadwillige actoren worden toegepast.

Naast deze maatregelen spelen gebruikerseducatie en bewustmakingstraining een cruciale rol bij het beperken van de daarmee samenhangende risico's van deze geavanceerde aanvalsvectoren.