HijackLoader

Развертывание HijackLoader злоумышленниками становится все более распространенным из-за его эффективности при внедрении вредоносного кода в законные процессы, что облегчает незаметное выполнение полезных данных. Этот метод позволяет им избежать обнаружения, используя доверенные приложения для небезопасных действий, создавая более сложную среду для мер безопасности для эффективного выявления и противодействия угрозе. Наблюдения исследователей выявили случаи, когда HijackLoader (также известный как IDAT Loader) использовал сложные методы, чтобы избежать обнаружения.

HijackLoader демонстрирует развитые угрожающие возможности

Исследователи определили эволюцию HijackLoader, включающую новые методы защитного уклонения, такие как выемка процесса, активация по каналу и комбинация двойников процессов. Эти улучшения повышают скрытность и сложность, усложняя анализ. Кроме того, вредоносное ПО использует дополнительные методы отсоединения, что еще больше увеличивает его возможности уклонения.

Сложный HijackLoader инициирует свои операции через файлstreaming_client.exe, который запутывает конфигурацию, чтобы помешать статическому анализу. Используя WinHTTP API, он проверяет подключение к Интернету, обращаясь к https://nginx.org. При успешном подключении он получает конфигурацию второго этапа с удаленного сервера.

После установки конфигурации второго уровня вредоносная программа сканирует байты заголовка PNG и определенное магическое значение. Впоследствии он расшифровывает информацию с помощью XOR и распаковывает ее через API RtlDecompressBuffer. Следующий шаг включает загрузку легальной Windows DLL, указанной в конфигурации, и запись шелл-кода в ее .text-раздел для выполнения. Он использует Heaven's Gate для обхода перехватчиков пользовательского режима и внедряет дополнительные шеллкоды в cmd.exe. Шелл-код третьего этапа внедряет окончательную полезную нагрузку, например маяк Cobalt Strike , в logagent.exe с использованием очистки процесса.

HijackLoader использует различные стратегии уклонения, в том числе обход перехвата Heaven's Gate и отцепление DLL, контролируемых инструментами безопасности. Он использует варианты выемки процесса и выемку транзакций для инъекции, сочетая транзакционную секцию и дублирование процесса с выемкой DLL для дальнейшего уклонения от обнаружения.

HijackLoader оснащен множеством методов защиты от обнаружения.

Основные методы уклонения, используемые HijackLoader и Shellcode, включают:

• Обход крючка:
• Врата рая
• Отцепление
• Вариант процесса выемки

Использование HijackLoader подчеркивает исключительную важность превентивных мер кибербезопасности для выявления и предотвращения таких тайных атак.

Организациям следует уделять особое внимание регулярным проверкам безопасности, внедрять надежную защиту конечных точек и быть в курсе возникающих угроз, чтобы эффективно защищаться от меняющихся тактик, используемых злоумышленниками.

В дополнение к этим мерам решающую роль в снижении рисков, связанных с этими сложными векторами атак, играют обучение пользователей и повышение осведомленности.