HijackLoader

Implementarea HijackLoader de către actorii amenințărilor a devenit din ce în ce mai răspândită datorită eficacității sale în injectarea de cod rău intenționat în procesele legitime, facilitând execuția discretă a sarcinilor utile. Această tehnică le permite să evite detectarea utilizând aplicații de încredere pentru activități nesigure, creând un mediu mai provocator pentru măsurile de securitate pentru a identifica și a contracara eficient amenințarea. Observațiile cercetătorilor dezvăluie cazuri de HijackLoader (cunoscut și ca IDAT Loader) care utilizează tehnici sofisticate pentru a evita detectarea.

HijackLoader prezintă capacități de amenințări evoluate

Cercetătorii au identificat evoluția HijackLoader, încorporând noi tehnici de evaziune a apărării, cum ar fi golirea procesului, activarea declanșată de țevi și o combinație de doppelganging a procesului. Aceste îmbunătățiri îi sporesc caracterul ascuns și complexitatea, făcând analiza mai dificilă. În plus, malware-ul folosește tehnici suplimentare de deblocare, contribuind și mai mult la capacitățile sale evazive.

Sofisticatul HijackLoader își inițiază operațiunile prin streaming_client.exe, care întunecă o configurație pentru a împiedica analiza statică. Utilizând API-urile WinHTTP, testează conectivitatea la Internet contactând https://nginx.org. La o conexiune reușită, acesta preia o configurație din a doua etapă de la un server la distanță.

Odată echipat cu configurația din a doua etapă, malware-ul scanează pentru octeți de antet PNG și o anumită valoare magică. Ulterior, decriptează informațiile folosind XOR și le decomprimă prin API-ul RtlDecompressBuffer. Următorul pas implică încărcarea unui DLL Windows legitim specificat în configurație, scrierea codului shell în secțiunea sa .text pentru execuție. Utilizează Heaven's Gate pentru a ocoli cârligele modului utilizator și injectează coduri shell suplimentare în cmd.exe. Codul shell din a treia etapă injectează o sarcină utilă finală, ca o baliză Cobalt Strike , în logagent.exe folosind procesul de golire.

HijackLoader folosește diverse strategii de evaziune, inclusiv ocolirea cârligului Heaven's Gate și decuplarea DLL-urilor monitorizate de instrumente de securitate. Utilizează variații de golire a procesului și golirea tranzacțiilor pentru injecție, combinând secțiunea tranzacționată și doppelgänging de proces cu golirea DLL pentru a evita detectarea în continuare.

HijackLoader este echipat cu mai multe tehnici anti-detecție

Tehnicile principale de evaziune folosite de HijackLoader și Shellcode includ:

• Ocolire cârlig:
• Poarta Raiului
• Desprinderea
• Variația de golire a procesului

Utilizarea HijackLoader subliniază importanța critică a măsurilor proactive de securitate cibernetică pentru a identifica și a preveni astfel de atacuri secrete.

Organizațiile ar trebui să pună accent pe auditurile de securitate de rutină, să implementeze o protecție robustă a punctelor terminale și să rămână informate cu privire la amenințările emergente pentru a se apăra în mod eficient împotriva tacticilor în evoluție utilizate de actorii neînțelepți.

Pe lângă aceste măsuri, educația utilizatorilor și formarea de conștientizare joacă un rol crucial în atenuarea riscurilor asociate acestor vectori de atac sofisticați.