HijackLoader

Shpërndarja e HijackLoader nga aktorët e kërcënimit është bërë gjithnjë e më e përhapur për shkak të efikasitetit të tij në injektimin e kodit me qëllim të keq në procese legjitime, duke lehtësuar ekzekutimin e matur të ngarkesave. Kjo teknikë u lejon atyre të shmangin zbulimin duke përdorur aplikacione të besuara për aktivitete të pasigurta, duke krijuar një mjedis më sfidues për masat e sigurisë për të identifikuar dhe luftuar kërcënimin në mënyrë efektive. Vëzhgimet nga studiuesit zbulojnë raste të HijackLoader (i njohur gjithashtu si IDAT Loader) duke përdorur teknika të sofistikuara për të shmangur zbulimin.

HijackLoader shfaq aftësi të zhvilluara kërcënuese

Studiuesit kanë identifikuar evolucionin e HijackLoader, duke përfshirë teknika të reja të evazionit të mbrojtjes, të tilla si zgavrimi i procesit, aktivizimi i shkaktuar nga tubacionet dhe një kombinim i procesit të gërvishtjes. Këto përmirësime rrisin fshehtësinë dhe kompleksitetin e tij, duke e bërë analizën më sfiduese. Për më tepër, malware përdor teknika shtesë të shkëputjes, duke kontribuar më tej në aftësitë e tij evazive.

HijackLoader i sofistikuar fillon operacionet e tij përmes streaming_client.exe, i cili errëson një konfigurim për të penguar analizën statike. Duke përdorur API-të WinHTTP, ai teston lidhjen në internet duke kontaktuar https://nginx.org. Pas lidhjes së suksesshme, ai merr një konfigurim të fazës së dytë nga një server në distancë.

Pasi të jetë pajisur me konfigurimin e fazës së dytë, malware skanon për bajt të kokës PNG dhe një vlerë magjike specifike. Më pas, ai deshifron informacionin duke përdorur XOR dhe e dekompreson atë përmes API-së RtlDecompressBuffer. Hapi tjetër përfshin ngarkimin e një DLL legjitime të Windows të specifikuar në konfigurim, duke shkruar shellcode në seksionin e tij .text për ekzekutim. Ai përdor Heaven's Gate për të anashkaluar grepat e modalitetit të përdoruesit dhe injekton kode shtesë të guaskës në cmd.exe. Shellcode i fazës së tretë injekton një ngarkesë përfundimtare, si një fener Cobalt Strike , në logagent.exe duke përdorur zgavrën e procesit.

HijackLoader përdor strategji të ndryshme evazioni, duke përfshirë anashkalimin e grepit të Heaven's Gate dhe heqjen e DLL-ve të monitoruara nga mjetet e sigurisë. Ai përdor variacionet e zbrazjes së procesit dhe zgavrën e transaktuar për injeksion, duke kombinuar seksionin e transaktuar dhe zvarritjen e procesit me zgavrën e DLL për të shmangur zbulimin më tej.

HijackLoader është i pajisur me teknika të shumta kundër zbulimit

Teknikat kryesore të evazionit të përdorura nga HijackLoader dhe Shellcode përfshijnë:

• Bypass me grep:
• Porta e Qiellit
• Shkëputja
• Variacioni i zbrazjes së procesit
• Variacioni i zbrazjes së procesit interaktiv:

• Analiza e tregtisë

• Zgavrim i transaktuar (Seksioni i transaktuar/Doppelgänger + zgavrim)

• Hapja e seksionit të transaktuar

• Procesi i zbrazjes

Përdorimi i HijackLoader nënvizon rëndësinë kritike të masave proaktive të sigurisë kibernetike për të identifikuar dhe parandaluar sulme të tilla të fshehta.

Organizatat duhet të vendosin theksin në auditimet rutinë të sigurisë, të zbatojnë mbrojtje të fuqishme të pikës fundore dhe të qëndrojnë të informuara për kërcënimet e reja për t'u mbrojtur kundër taktikave në zhvillim të përdorura nga aktorë me mendje të keqe në mënyrë efektive.

Përveç këtyre masave, edukimi i përdoruesve dhe trajnimi i ndërgjegjësimit luajnë një rol vendimtar në zbutjen e rreziqeve shoqëruese të këtyre vektorëve të sofistikuar të sulmit.