HijackLoader

హానికరమైన కోడ్‌ను చట్టబద్ధమైన ప్రక్రియల్లోకి చొప్పించడం, పేలోడ్‌లను వివేకంతో అమలు చేయడం సులభతరం చేయడంలో దాని సమర్థత కారణంగా బెదిరింపు నటులచే హైజాక్‌లోడర్‌ని మోహరించడం ఎక్కువగా ప్రబలంగా మారింది. అసురక్షిత కార్యకలాపాల కోసం విశ్వసనీయ అప్లికేషన్‌లను ఉపయోగించడం ద్వారా గుర్తించడాన్ని నివారించడానికి ఈ సాంకేతికత వారిని అనుమతిస్తుంది, ముప్పును సమర్థవంతంగా గుర్తించడానికి మరియు ఎదుర్కోవడానికి భద్రతా చర్యల కోసం మరింత సవాలుతో కూడిన వాతావరణాన్ని సృష్టిస్తుంది. పరిశోధకుల పరిశీలనలు హైజాక్‌లోడర్ (దీనిని IDAT లోడర్ అని కూడా పిలుస్తారు) గుర్తించకుండా తప్పించుకోవడానికి అధునాతన పద్ధతులను ఉపయోగించిన సందర్భాలను వెల్లడిస్తున్నాయి.

HijackLoader అభివృద్ధి చెందిన బెదిరింపు సామర్థ్యాలను ప్రదర్శిస్తుంది

హైజాక్‌లోడర్ యొక్క పరిణామాన్ని పరిశోధకులు గుర్తించారు, ప్రాసెస్ హోలోయింగ్, పైప్-ట్రిగ్గర్డ్ యాక్టివేషన్ మరియు ప్రాసెస్ డోపెల్‌గ్యాంగింగ్ కలయిక వంటి కొత్త రక్షణ ఎగవేత పద్ధతులను చేర్చారు. ఈ విస్తరింపులు దాని స్టెల్తీనెస్ మరియు సంక్లిష్టతను పెంచుతాయి, విశ్లేషణను మరింత సవాలుగా మారుస్తాయి. అదనంగా, మాల్వేర్ అదనపు అన్‌హుకింగ్ పద్ధతులను ఉపయోగిస్తుంది, దాని తప్పించుకునే సామర్థ్యాలకు మరింత దోహదం చేస్తుంది.

అధునాతన హైజాక్‌లోడర్ దాని కార్యకలాపాలను streaming_client.exe ద్వారా ప్రారంభిస్తుంది, ఇది స్టాటిక్ విశ్లేషణను అడ్డుకోవడానికి కాన్ఫిగరేషన్‌ను అస్పష్టం చేస్తుంది. WinHTTP APIలను ఉపయోగించడం, ఇది https://nginx.orgకి చేరుకోవడం ద్వారా ఇంటర్నెట్ కనెక్టివిటీని పరీక్షిస్తుంది. విజయవంతమైన కనెక్షన్ తర్వాత, ఇది రిమోట్ సర్వర్ నుండి రెండవ-దశ కాన్ఫిగరేషన్‌ను తిరిగి పొందుతుంది.

రెండవ-దశ కాన్ఫిగర్‌తో అమర్చబడిన తర్వాత, మాల్వేర్ PNG హెడర్ బైట్‌లు మరియు నిర్దిష్ట మ్యాజిక్ విలువ కోసం స్కాన్ చేస్తుంది. తదనంతరం, ఇది XORని ఉపయోగించి సమాచారాన్ని డీక్రిప్ట్ చేస్తుంది మరియు దానిని RtlDecompressBuffer API ద్వారా డీకంప్రెస్ చేస్తుంది. తదుపరి దశలో కాన్ఫిగరేషన్‌లో పేర్కొన్న చట్టబద్ధమైన Windows DLLని లోడ్ చేయడం, దాని అమలు కోసం షెల్‌కోడ్‌ను .టెక్స్ట్ విభాగానికి రాయడం. ఇది యూజర్ మోడ్ హుక్స్‌ను తప్పించుకోవడానికి హెవెన్స్ గేట్‌ని ఉపయోగిస్తుంది మరియు cmd.exe లోకి అదనపు షెల్‌కోడ్‌లను ఇంజెక్ట్ చేస్తుంది. మూడవ-దశ షెల్‌కోడ్ కోబాల్ట్ స్ట్రైక్ బెకన్ వంటి తుది పేలోడ్‌ను ప్రాసెస్ హోలోయింగ్‌ని ఉపయోగించి logagent.exeలోకి ఇంజెక్ట్ చేస్తుంది.

హైజాక్‌లోడర్ హెవెన్స్ గేట్ హుక్ బైపాస్ మరియు భద్రతా సాధనాల ద్వారా పర్యవేక్షించబడే DLLలను అన్‌హుకింగ్ చేయడంతో సహా వివిధ ఎగవేత వ్యూహాలను ఉపయోగిస్తుంది. ఇది ప్రాసెస్ హోలోయింగ్ వేరియేషన్స్‌ని మరియు ఇంజెక్షన్ కోసం ట్రాన్సాక్ట్ హోలోయింగ్‌ను ఉపయోగించుకుంటుంది, లావాదేవీలు జరిగిన సెక్షన్ మరియు ప్రాసెస్ డోపెల్‌గాంజింగ్‌ను డిఎల్‌ఎల్ హోలోయింగ్‌తో కలపడం ద్వారా మరింతగా గుర్తించకుండా తప్పించుకుంటుంది.

హైజాక్‌లోడర్ మల్టిపుల్ యాంటీ-డిటెక్నిక్స్ టెక్నిక్స్‌తో అమర్చబడి ఉంది

హైజాక్‌లోడర్ మరియు షెల్‌కోడ్ ఉపయోగించే ప్రాథమిక ఎగవేత పద్ధతులు:

• హుక్ బైపాస్:
• స్వర్గ ద్వారం
• హూకింగ్
• ప్రాసెస్ హాలోవింగ్ వేరియేషన్
• ఇంటరాక్టివ్ ప్రాసెస్ హోలోవింగ్ వేరియేషన్:

• ట్రేడ్‌క్రాఫ్ట్ విశ్లేషణ

• ట్రాన్సాక్టెడ్ హాలోవింగ్ (లావాదేవీ విభాగం/డోపెల్‌గేంజర్ + హాలోవింగ్)

• ట్రాన్సాక్టెడ్ సెక్షన్ హోలోయింగ్

• ప్రక్రియ హోలోయింగ్

హైజాక్‌లోడర్ యొక్క వినియోగం అటువంటి రహస్య దాడులను గుర్తించడానికి మరియు నిరోధించడానికి చురుకైన సైబర్‌ సెక్యూరిటీ చర్యల యొక్క క్లిష్టమైన ప్రాముఖ్యతను నొక్కి చెబుతుంది.

సంస్థలు రొటీన్ సెక్యూరిటీ ఆడిట్‌లపై దృష్టి పెట్టాలి, పటిష్టమైన ఎండ్‌పాయింట్ ప్రొటెక్షన్‌ను అమలు చేయాలి మరియు చెడు మనస్తత్వం గల నటులు ప్రభావవంతంగా ఉపయోగించే పరిణామ వ్యూహాల నుండి రక్షించడానికి ఉద్భవిస్తున్న బెదిరింపుల గురించి తెలియజేయాలి.

ఈ చర్యలతో పాటు, ఈ అధునాతన దాడి వెక్టర్స్ యొక్క సంబంధిత ప్రమాదాలను తగ్గించడంలో వినియోగదారు విద్య మరియు అవగాహన శిక్షణ కీలక పాత్ర పోషిస్తాయి.