HijackLoader

ਧਮਕੀਆਂ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ ਹਾਈਜੈਕਲੋਡਰ ਦੀ ਤੈਨਾਤੀ, ਕਾਨੂੰਨੀ ਪ੍ਰਕਿਰਿਆਵਾਂ ਵਿੱਚ ਖਤਰਨਾਕ ਕੋਡ ਨੂੰ ਇੰਜੈਕਟ ਕਰਨ ਵਿੱਚ ਇਸਦੀ ਪ੍ਰਭਾਵਸ਼ੀਲਤਾ ਦੇ ਕਾਰਨ, ਪੇਲੋਡਾਂ ਨੂੰ ਸਮਝਦਾਰੀ ਨਾਲ ਲਾਗੂ ਕਰਨ ਦੀ ਸਹੂਲਤ ਦੇ ਕਾਰਨ ਵਧੇਰੇ ਪ੍ਰਚਲਿਤ ਹੋ ਗਈ ਹੈ। ਇਹ ਤਕਨੀਕ ਉਹਨਾਂ ਨੂੰ ਅਸੁਰੱਖਿਅਤ ਗਤੀਵਿਧੀਆਂ ਲਈ ਭਰੋਸੇਮੰਦ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਖੋਜ ਤੋਂ ਬਚਣ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦੀ ਹੈ, ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਲਈ ਇੱਕ ਹੋਰ ਚੁਣੌਤੀਪੂਰਨ ਮਾਹੌਲ ਬਣਾਉਣ ਲਈ ਖਤਰੇ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਪਛਾਣਨ ਅਤੇ ਮੁਕਾਬਲਾ ਕਰਨ ਲਈ। ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਨਿਰੀਖਣ ਹਾਈਜੈਕਲੋਡਰ (ਜਿਸ ਨੂੰ IDAT ਲੋਡਰ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਦੀਆਂ ਉਦਾਹਰਣਾਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਤੋਂ ਬਚਣ ਲਈ ਆਧੁਨਿਕ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ।

HijackLoader ਵਿਕਸਤ ਧਮਕੀ ਸਮਰੱਥਾਵਾਂ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਹਾਈਜੈਕਲੋਡਰ ਦੇ ਵਿਕਾਸ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ, ਨਵੀਂ ਰੱਖਿਆ ਚੋਰੀ ਤਕਨੀਕਾਂ ਜਿਵੇਂ ਕਿ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਖੋਖਲਾ ਕਰਨਾ, ਪਾਈਪ-ਟਰਿੱਗਰਡ ਐਕਟੀਵੇਸ਼ਨ, ਅਤੇ ਪ੍ਰਕਿਰਿਆ ਡੋਪਲਗੈਂਗਿੰਗ ਦੇ ਸੁਮੇਲ ਨੂੰ ਸ਼ਾਮਲ ਕੀਤਾ ਹੈ। ਇਹ ਸੁਧਾਰ ਇਸਦੀ ਗੁਪਤਤਾ ਅਤੇ ਜਟਿਲਤਾ ਨੂੰ ਵਧਾਉਂਦੇ ਹਨ, ਵਿਸ਼ਲੇਸ਼ਣ ਨੂੰ ਹੋਰ ਚੁਣੌਤੀਪੂਰਨ ਬਣਾਉਂਦੇ ਹਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਮਾਲਵੇਅਰ ਵਾਧੂ ਅਨਹੂਕਿੰਗ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਇਸਦੀ ਬਚਣ ਵਾਲੀਆਂ ਸਮਰੱਥਾਵਾਂ ਵਿੱਚ ਹੋਰ ਯੋਗਦਾਨ ਪਾਉਂਦਾ ਹੈ।

ਸੂਝਵਾਨ ਹਾਈਜੈਕਲੋਡਰ streaming_client.exe ਦੁਆਰਾ ਆਪਣਾ ਕੰਮ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ, ਜੋ ਸਥਿਰ ਵਿਸ਼ਲੇਸ਼ਣ ਨੂੰ ਅਸਫਲ ਕਰਨ ਲਈ ਇੱਕ ਸੰਰਚਨਾ ਨੂੰ ਅਸਪਸ਼ਟ ਕਰਦਾ ਹੈ। WinHTTP API ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, ਇਹ https://nginx.org 'ਤੇ ਪਹੁੰਚ ਕੇ ਇੰਟਰਨੈਟ ਕਨੈਕਟੀਵਿਟੀ ਦੀ ਜਾਂਚ ਕਰਦਾ ਹੈ। ਸਫਲ ਕੁਨੈਕਸ਼ਨ 'ਤੇ, ਇਹ ਰਿਮੋਟ ਸਰਵਰ ਤੋਂ ਦੂਜੀ-ਪੜਾਅ ਦੀ ਸੰਰਚਨਾ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ।

ਇੱਕ ਵਾਰ ਦੂਜੇ-ਪੜਾਅ ਦੀ ਸੰਰਚਨਾ ਨਾਲ ਲੈਸ ਹੋਣ 'ਤੇ, ਮਾਲਵੇਅਰ PNG ਸਿਰਲੇਖ ਬਾਈਟਾਂ ਅਤੇ ਇੱਕ ਖਾਸ ਜਾਦੂਈ ਮੁੱਲ ਲਈ ਸਕੈਨ ਕਰਦਾ ਹੈ। ਇਸ ਤੋਂ ਬਾਅਦ, ਇਹ XOR ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਜਾਣਕਾਰੀ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਦਾ ਹੈ ਅਤੇ ਇਸਨੂੰ RtlDecompressBuffer API ਦੁਆਰਾ ਡੀਕੰਪ੍ਰੈਸ ਕਰਦਾ ਹੈ। ਅਗਲੇ ਪੜਾਅ ਵਿੱਚ ਸੰਰਚਨਾ ਵਿੱਚ ਦਰਸਾਏ ਗਏ ਇੱਕ ਜਾਇਜ਼ ਵਿੰਡੋਜ਼ DLL ਨੂੰ ਲੋਡ ਕਰਨਾ, ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਲਈ ਸ਼ੈੱਲਕੋਡ ਨੂੰ ਇਸਦੇ .text ਭਾਗ ਵਿੱਚ ਲਿਖਣਾ ਸ਼ਾਮਲ ਹੈ। ਇਹ ਯੂਜ਼ਰ ਮੋਡ ਹੁੱਕਾਂ ਨੂੰ ਰੋਕਣ ਲਈ ਹੈਵਨਜ਼ ਗੇਟ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ ਅਤੇ cmd.exe ਵਿੱਚ ਵਾਧੂ ਸ਼ੈੱਲਕੋਡਾਂ ਨੂੰ ਇੰਜੈਕਟ ਕਰਦਾ ਹੈ। ਤੀਸਰੇ-ਪੜਾਅ ਦਾ ਸ਼ੈੱਲਕੋਡ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਖੋਖਲਾ ਕਰਨ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਇੱਕ ਅੰਤਮ ਪੇਲੋਡ, ਜਿਵੇਂ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਬੀਕਨ, ਨੂੰ logagent.exe ਵਿੱਚ ਇੰਜੈਕਟ ਕਰਦਾ ਹੈ।

ਹਾਈਜੈਕਲੋਡਰ ਵੱਖ-ਵੱਖ ਚੋਰੀ ਦੀਆਂ ਰਣਨੀਤੀਆਂ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਸੁਰੱਖਿਆ ਸਾਧਨਾਂ ਦੁਆਰਾ ਨਿਗਰਾਨੀ ਕੀਤੇ ਗਏ ਹੇਵਨਜ਼ ਗੇਟ ਹੁੱਕ ਬਾਈਪਾਸ ਅਤੇ ਅਨਹੂਕਿੰਗ DLL ਸ਼ਾਮਲ ਹਨ। ਇਹ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਪ੍ਰਕਿਰਿਆ ਦੇ ਖੋਖਲੇ ਭਿੰਨਤਾਵਾਂ ਅਤੇ ਟੀਕੇ ਲਈ ਟ੍ਰਾਂਜੈਕਟਡ ਹੋਲੋਇੰਗ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਟ੍ਰਾਂਜੈਕਟਡ ਸੈਕਸ਼ਨ ਅਤੇ ਪ੍ਰੋਸੈਸ ਡੋਪਲਗੈਂਗਿੰਗ ਨੂੰ ਡੀਐਲਐਲ ਖੋਖਲੇ ਨਾਲ ਜੋੜਦਾ ਹੈ ਤਾਂ ਜੋ ਖੋਜ ਨੂੰ ਅੱਗੇ ਤੋਂ ਬਚਾਇਆ ਜਾ ਸਕੇ।

ਹਾਈਜੈਕਲੋਡਰ ਮਲਟੀਪਲ ਐਂਟੀ-ਡਿਟੈਕਸ਼ਨ ਤਕਨੀਕਾਂ ਨਾਲ ਲੈਸ ਹੈ

ਹਾਈਜੈਕਲੋਡਰ ਅਤੇ ਸ਼ੈੱਲਕੋਡ ਦੁਆਰਾ ਨਿਯੋਜਿਤ ਪ੍ਰਾਇਮਰੀ ਚੋਰੀ ਤਕਨੀਕਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਹੁੱਕ ਬਾਈਪਾਸ:
• ਸਵਰਗ ਦਾ ਦਰਵਾਜ਼ਾ
• ਅਨਹੁੱਕਿੰਗ
• ਪ੍ਰਕਿਰਿਆ ਖੋਖਲੀ ਪਰਿਵਰਤਨ
• ਇੰਟਰਐਕਟਿਵ ਪ੍ਰਕਿਰਿਆ ਖੋਖਲੀ ਪਰਿਵਰਤਨ:

• ਟ੍ਰੇਡਕ੍ਰਾਫਟ ਵਿਸ਼ਲੇਸ਼ਣ

• ਟ੍ਰਾਂਜੈਕਟਡ ਹੋਲੋਇੰਗ (ਟ੍ਰਾਂਜੈਕਟਡ ਸੈਕਸ਼ਨ/ਡੌਪੇਲਗੇਂਜਰ + ਹੋਲੋਇੰਗ)

• ਟ੍ਰਾਂਜੈਕਟਡ ਸੈਕਸ਼ਨ ਹੋਲੋਵਿੰਗ

• ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਖੋਖਲਾ ਕਰਨਾ

ਹਾਈਜੈਕਲੋਡਰ ਦੀ ਵਰਤੋਂ ਅਜਿਹੇ ਗੁਪਤ ਹਮਲਿਆਂ ਦੀ ਪਛਾਣ ਕਰਨ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਰੋਕਣ ਲਈ ਕਿਰਿਆਸ਼ੀਲ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਦੀ ਮਹੱਤਵਪੂਰਨ ਮਹੱਤਤਾ ਨੂੰ ਰੇਖਾਂਕਿਤ ਕਰਦੀ ਹੈ।

ਸੰਗਠਨਾਂ ਨੂੰ ਰੁਟੀਨ ਸੁਰੱਖਿਆ ਆਡਿਟ 'ਤੇ ਜ਼ੋਰ ਦੇਣਾ ਚਾਹੀਦਾ ਹੈ, ਮਜ਼ਬੂਤ ਅੰਤਮ ਬਿੰਦੂ ਸੁਰੱਖਿਆ ਨੂੰ ਲਾਗੂ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ, ਅਤੇ ਕਮਜ਼ੋਰ ਸੋਚ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਵਰਤੀਆਂ ਜਾਂਦੀਆਂ ਉਭਰਦੀਆਂ ਚਾਲਾਂ ਤੋਂ ਬਚਾਅ ਲਈ ਉੱਭਰ ਰਹੇ ਖਤਰਿਆਂ ਬਾਰੇ ਸੂਚਿਤ ਰਹਿਣਾ ਚਾਹੀਦਾ ਹੈ।

ਇਹਨਾਂ ਉਪਾਵਾਂ ਤੋਂ ਇਲਾਵਾ, ਉਪਭੋਗਤਾ ਸਿੱਖਿਆ ਅਤੇ ਜਾਗਰੂਕਤਾ ਸਿਖਲਾਈ ਇਹਨਾਂ ਸੂਝਵਾਨ ਹਮਲਾ ਵੈਕਟਰਾਂ ਦੇ ਸੰਬੰਧਿਤ ਜੋਖਮਾਂ ਨੂੰ ਘਟਾਉਣ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਭੂਮਿਕਾ ਨਿਭਾਉਂਦੀ ਹੈ।