HijackLoader

Uvajanje HijackLoaderja s strani akterjev groženj je postalo vse bolj razširjeno zaradi njegove učinkovitosti pri vnašanju zlonamerne kode v zakonite procese, kar olajša diskretno izvajanje uporabnih obremenitev. Ta tehnika jim omogoča, da se izognejo odkrivanju z uporabo zaupanja vrednih aplikacij za nevarne dejavnosti, s čimer ustvarijo bolj zahtevno okolje za varnostne ukrepe za prepoznavanje in učinkovito preprečevanje grožnje. Opazovanja raziskovalcev razkrivajo primere HijackLoaderja (znanega tudi kot IDAT Loader), ki uporablja sofisticirane tehnike, da se izogne odkrivanju.

HijackLoader kaže napredne nevarne zmožnosti

Raziskovalci so prepoznali razvoj HijackLoaderja, ki vključuje nove obrambne tehnike izogibanja, kot je izdolbenje procesa, aktivacija, ki jo sproži cev, in kombinacija dvojnega procesa. Te izboljšave povečujejo njegovo prikritost in kompleksnost, zaradi česar je analiza zahtevnejša. Poleg tega zlonamerna programska oprema uporablja dodatne tehnike odklopa, kar še dodatno prispeva k njeni ubežni zmožnosti.

Sofisticirani HijackLoader začne svoje operacije prek streaming_client.exe, ki zamegli konfiguracijo in prepreči statično analizo. Z uporabo API-jev WinHTTP preizkuša internetno povezljivost tako, da se obrne na https://nginx.org. Po uspešni povezavi pridobi konfiguracijo druge stopnje z oddaljenega strežnika.

Ko je opremljena z drugo stopnjo konfiguracije, zlonamerna programska oprema išče bajte glave PNG in določeno čarobno vrednost. Nato podatke dešifrira z uporabo XOR in jih razpakira prek API-ja RtlDecompressBuffer. Naslednji korak vključuje nalaganje zakonitega DLL-ja sistema Windows, določenega v konfiguraciji, in pisanje ukazne kode v njegov razdelek .text za izvedbo. Uporablja Heaven's Gate, da se izogne kavljem uporabniškega načina in v cmd.exe vstavi dodatne lupinske kode. Tretja stopnja lupinske kode vnese končno koristno obremenitev, kot je svetilnik Cobalt Strike , v logagent.exe z uporabo procesa hollowing.

HijackLoader uporablja različne strategije izogibanja, vključno z obvodom kljuke Heaven's Gate in odklopom DLL-jev, ki jih spremljajo varnostna orodja. Uporablja različice izdolbenja procesa in izdolbenje v transakciji za vbrizgavanje, pri čemer združuje podvajanje odseka s transakcijo in proces z izdolbljanjem DLL, da se dodatno izogne odkrivanju.

HijackLoader je opremljen z več tehnikami proti odkrivanju

Primarne tehnike izogibanja, ki jih uporabljata HijackLoader in Shellcode, vključujejo:

• Hook Bypass:
• Nebeška vrata
• Odpenjanje
• Različica postopka izdolbenja

Uporaba HijackLoaderja poudarja ključni pomen proaktivnih ukrepov kibernetske varnosti za prepoznavanje in preprečevanje takšnih prikritih napadov.

Organizacije bi morale dati poudarek rutinskim varnostnim pregledom, izvajati zanesljivo zaščito končnih točk in biti obveščene o nastajajočih grožnjah, da bi se učinkovito branile pred razvijajočimi se taktikami, ki jih uporabljajo slaboumni akterji.

Poleg teh ukrepov ima izobraževanje uporabnikov in usposabljanje za ozaveščanje ključno vlogo pri zmanjševanju povezanih tveganj teh sofisticiranih vektorjev napadov.