HijackLoader

Примена ХијацкЛоадер-а од стране актера претњи постаје све заступљенија због његове ефикасности у убризгавању злонамерног кода у легитимне процесе, олакшавајући дискретно извршавање корисних података. Ова техника им омогућава да избегну откривање коришћењем поузданих апликација за небезбедне активности, стварајући изазовније окружење за безбедносне мере за ефикасно идентификовање и сузбијање претње. Посматрања истраживача откривају случајеве ХијацкЛоадер-а (познатог и као ИДАТ Лоадер) који користи софистициране технике како би избегао откривање.

HijackLoader показује развијене претње могућности

Истраживачи су идентификовали еволуцију ХијацкЛоадер-а, укључујући нове технике избегавања одбране, као што су процес удубљења, активација изазвана цевима и комбинација двоструког процеса. Ова побољшања повећавају његову скривеност и сложеност, чинећи анализу изазовнијом. Поред тога, злонамерни софтвер користи додатне технике окидања, што додатно доприноси његовим могућностима избегавања.

Софистицирани ХијацкЛоадер покреће своје операције преко стреаминг_цлиент.еке, који прикрива конфигурацију да би спречио статичку анализу. Користећи ВинХТТП АПИ-је, тестира интернет конекцију тако што ће доћи до хттпс://нгинк.орг. Након успешне везе, преузима конфигурацију друге фазе са удаљеног сервера.

Једном када је опремљен конфигурацијом друге фазе, малвер скенира за ПНГ бајтове заглавља и одређену магичну вредност. Након тога, он дешифрује информације користећи КСОР и декомпресује их преко РтлДецомпрессБуффер АПИ-ја. Следећи корак укључује учитавање легитимног Виндовс ДЛЛ-а наведеног у конфигурацији, писање схелл кода у његов одељак .тект ради извршавања. Користи Хеавен'с Гате да заобиђе закачке у корисничком режиму и убризгава додатне схелл кодове у цмд.еке. Схеллцоде треће фазе убризгава коначни корисни терет, попут Цобалт Стрике беацон-а, у логагент.еке користећи процес удубљења.

ХијацкЛоадер користи различите стратегије избегавања, укључујући премошћавање куке Хеавен'с Гате и отпуштање ДЛЛ-ова које надгледају безбедносни алати. Користи варијације процеса издубљивања и трансактованог удубљења за убризгавање, комбинујући трансактоване секције и процесно дуплирање са ДЛЛ издубљивањем како би се даље избегао откривање.

ХијацкЛоадер је опремљен са више техника против детекције

Примарне технике избегавања које користе ХијацкЛоадер и Схеллцоде укључују:

• Заобилазница куке:
• Капија раја
• Откопчавање
• Варијација удубљења процеса
• Интерактивна варијанта удубљења процеса:

• Традецрафт Аналисис

• Трансацтед Холловинг (Трансацтед Сецтион/Доппелгангер + Холловинг)

• Трансацтед Сецтион Холловинг

• Процес Холловинг

Коришћење ХијацкЛоадер-а наглашава критичну важност проактивних мера сајбер безбедности да би се идентификовали и спречили такви прикривени напади.

Организације треба да ставе нагласак на рутинске ревизије безбедности, имплементирају робусну заштиту крајњих тачака и буду информисане о новим претњама како би се ефикасно браниле од еволуирајућих тактика које користе злонамерни актери.

Поред ових мера, едукација корисника и обука за подизање свести играју кључну улогу у ублажавању повезаних ризика ових софистицираних вектора напада.