HijackLoader

Nasadenie HijackLoader aktérmi hrozieb sa stáva čoraz rozšírenejším vďaka jeho účinnosti pri zavádzaní škodlivého kódu do legitímnych procesov, čo uľahčuje diskrétne vykonávanie užitočných dát. Táto technika im umožňuje vyhnúť sa detekcii využívaním dôveryhodných aplikácií na nebezpečné činnosti, čím sa vytvára náročnejšie prostredie pre bezpečnostné opatrenia na efektívnu identifikáciu a boj proti hrozbe. Pozorovania výskumníkov odhaľujú príklady programu HijackLoader (známy aj ako IDAT Loader), ktorý využíva sofistikované techniky na obchádzanie detekcie.

HijackLoader vykazuje vyvinuté schopnosti ohrozovania

Výskumníci identifikovali evolúciu HijackLoader, ktorá zahŕňa nové techniky vyhýbania sa obranným procesom, ako je procesné vyhĺbenie, aktivácia spúšťaná potrubím a kombinácia doppelgangingu procesov. Tieto vylepšenia zvyšujú jeho tajnosť a zložitosť, vďaka čomu je analýza náročnejšia. Okrem toho malvér využíva ďalšie techniky odpojenia, čím ďalej prispieva k jeho únikovým schopnostiam.

Sofistikovaný HijackLoader spúšťa svoje operácie prostredníctvom streaming_client.exe, ktorý zahmlieva konfiguráciu, aby prekazil statickú analýzu. Pomocou rozhraní WinHTTP API testuje internetové pripojenie kontaktovaním https://nginx.org. Po úspešnom pripojení načíta konfiguráciu druhej fázy zo vzdialeného servera.

Po vybavení konfiguráciou druhej fázy malvér vyhľadá bajty hlavičky PNG a konkrétnu magickú hodnotu. Následne dešifruje informácie pomocou XOR a dekomprimuje ich cez RtlDecompressBuffer API. Ďalší krok zahŕňa načítanie legitímnej Windows DLL špecifikovanej v konfigurácii, zapísanie shell kódu do jej .text sekcie na vykonanie. Využíva Heaven's Gate na obchádzanie háčikov používateľského režimu a vkladá ďalšie shell kódy do cmd.exe. Tretia etapa shell kód vstrekuje konečné užitočné zaťaženie, ako Cobalt Strike maják, do logagent.exe pomocou procesu dutých.

HijackLoader využíva rôzne únikové stratégie, vrátane obchádzania háku Heaven's Gate a odpájania knižníc DLL monitorovaných bezpečnostnými nástrojmi. Využíva variácie procesného vyhĺbenia a prevedeného vyhĺbenia na vstrekovanie, pričom kombinuje transakčnú sekciu a procesné doppelgänging s vyhĺbením DLL, aby sa ďalej vyhlo detekcii.

HijackLoader je vybavený viacerými antidetekčnými technikami

Medzi hlavné únikové techniky používané HijackLoader a Shellcode patria:

• Obtok háku:
• Nebeská brána
• Odopínanie
• Variácia vyhĺbenia procesu

Využitie HijackLoader podčiarkuje zásadný význam proaktívnych opatrení kybernetickej bezpečnosti na identifikáciu a prevenciu takýchto skrytých útokov.

Organizácie by mali klásť dôraz na rutinné bezpečnostné audity, implementovať robustnú ochranu koncových bodov a byť informovaní o vznikajúcich hrozbách, aby sa mohli účinne brániť proti vyvíjajúcim sa taktikám, ktoré používajú zle zmýšľajúci aktéri.

Okrem týchto opatrení zohráva kľúčovú úlohu pri zmierňovaní súvisiacich rizík týchto sofistikovaných vektorov útokov aj vzdelávanie a školenie používateľov.