HijackLoader

Wdrażanie programu HijackLoader przez podmioty zagrażające staje się coraz bardziej powszechne ze względu na jego skuteczność we wstrzykiwaniu złośliwego kodu do legalnych procesów, co ułatwia dyskretne wykonywanie ładunków. Technika ta pozwala im uniknąć wykrycia poprzez wykorzystanie zaufanych aplikacji do niebezpiecznych działań, tworząc trudniejsze środowisko dla środków bezpieczeństwa umożliwiających skuteczną identyfikację i przeciwdziałanie zagrożeniom. Obserwacje badaczy ujawniają przypadki, gdy HijackLoader (znany również jako IDAT Loader) wykorzystuje zaawansowane techniki, aby uniknąć wykrycia.

HijackLoader wykazuje rozwinięte możliwości w zakresie zagrożeń

Badacze zidentyfikowali ewolucję programu HijackLoader, obejmującą nowe techniki unikania obrony, takie jak drążenie procesów, aktywacja wyzwalana rurami i połączenie duplikacji procesów. Te ulepszenia zwiększają jego dyskrecję i złożoność, czyniąc analizę trudniejszą. Ponadto złośliwe oprogramowanie wykorzystuje dodatkowe techniki odhaczania, co jeszcze bardziej zwiększa jego możliwości unikania.

Wyrafinowany HijackLoader inicjuje swoje działania poprzez plik streaming_client.exe, który zaciemnia konfigurację, aby udaremnić analizę statyczną. Wykorzystując interfejsy API WinHTTP, testuje łączność z Internetem, kontaktując się z https://nginx.org. Po pomyślnym połączeniu pobiera konfigurację drugiego etapu ze zdalnego serwera.

Po wyposażeniu w konfigurację drugiego etapu złośliwe oprogramowanie skanuje w poszukiwaniu bajtów nagłówka PNG i określonej wartości magicznej. Następnie odszyfrowuje informacje za pomocą XOR i dekompresuje je za pomocą interfejsu API RtlDecompressBuffer. Następny krok polega na załadowaniu legalnej biblioteki DLL systemu Windows określonej w konfiguracji i zapisaniu kodu powłoki w jej sekcji .text w celu wykonania. Wykorzystuje Heaven's Gate do obejścia haków trybu użytkownika i wstrzykuje dodatkowe kody powłoki do cmd.exe. Kod powłoki trzeciego etapu wprowadza końcowy ładunek, taki jak sygnał nawigacyjny Cobalt Strike , do pliku logagent.exe przy użyciu drążenia procesu.

HijackLoader wykorzystuje różne strategie unikania, w tym obejście haka Heaven's Gate i odhaczanie bibliotek DLL monitorowanych przez narzędzia bezpieczeństwa. Wykorzystuje odmiany drążenia procesowego i drążenia transakcyjnego do wtryskiwania, łącząc sekcję transakcyjną i duplikację procesu z drążeniem DLL, aby jeszcze bardziej uniknąć wykrycia.

HijackLoader jest wyposażony w wiele technik zapobiegania wykryciu

Podstawowe techniki unikania stosowane przez HijackLoader i Shellcode obejmują:

• Obejście haka:
• Bramy niebios
• Odczepianie
• Odmiana drążenia procesu

Korzystanie z HijackLoader podkreśla kluczowe znaczenie proaktywnych środków cyberbezpieczeństwa w celu identyfikowania takich ukrytych ataków i zapobiegania im.

Organizacje powinny kłaść nacisk na rutynowe audyty bezpieczeństwa, wdrażać solidną ochronę punktów końcowych i być na bieżąco z pojawiającymi się zagrożeniami, aby skutecznie bronić się przed ewoluującymi taktykami stosowanymi przez źle myślące podmioty.

Oprócz tych środków kluczową rolę w ograniczaniu ryzyka związanego z tymi wyrafinowanymi wektorami ataków odgrywają edukacja użytkowników i szkolenia uświadamiające.