HijackLoader

การใช้งาน HijackLoader โดยผู้คุกคามเริ่มแพร่หลายมากขึ้น เนื่องจากมีประสิทธิภาพในการแทรกโค้ดที่เป็นอันตรายเข้าไปในกระบวนการที่ถูกต้องตามกฎหมาย ซึ่งอำนวยความสะดวกในการดำเนินการเพย์โหลดอย่างรอบคอบ เทคนิคนี้ช่วยให้พวกเขาหลีกเลี่ยงการตรวจจับโดยใช้แอปพลิเคชันที่เชื่อถือได้สำหรับกิจกรรมที่ไม่ปลอดภัย สร้างสภาพแวดล้อมที่ท้าทายมากขึ้นสำหรับมาตรการรักษาความปลอดภัยเพื่อระบุและตอบโต้ภัยคุกคามได้อย่างมีประสิทธิภาพ การสังเกตการณ์โดยนักวิจัยเผยให้เห็นกรณีของ HijackLoader (หรือที่รู้จักในชื่อ IDAT Loader) โดยใช้เทคนิคที่ซับซ้อนเพื่อหลบเลี่ยงการตรวจจับ

HijackLoader จัดแสดงความสามารถในการคุกคามที่พัฒนาขึ้น

นักวิจัยได้ระบุวิวัฒนาการของ HijackLoader โดยผสมผสานเทคนิคการหลีกเลี่ยงการป้องกันใหม่ๆ เช่น กระบวนการเจาะ การเปิดใช้งานไปป์ และการผสมผสานระหว่างกระบวนการที่ซ้ำกัน การปรับปรุงเหล่านี้เพิ่มความลึกลับและความซับซ้อน ทำให้การวิเคราะห์มีความท้าทายมากขึ้น นอกจากนี้ มัลแวร์ยังใช้เทคนิคการปลดตะขอเพิ่มเติม ซึ่งช่วยเพิ่มความสามารถในการหลบเลี่ยง

HijackLoader ที่ซับซ้อนเริ่มต้นการดำเนินการผ่าน Streaming_client.exe ซึ่งจะทำให้การกำหนดค่าซับซ้อนเพื่อป้องกันการวิเคราะห์แบบคงที่ ด้วยการใช้ WinHTTP API จะทดสอบการเชื่อมต่ออินเทอร์เน็ตโดยติดต่อไปที่ https://nginx.org เมื่อเชื่อมต่อสำเร็จ ระบบจะดึงการกำหนดค่าขั้นที่สองจากเซิร์ฟเวอร์ระยะไกล

เมื่อติดตั้งการกำหนดค่าขั้นที่สองแล้ว มัลแวร์จะสแกนหาไบต์ของส่วนหัว PNG และค่าเวทย์มนตร์เฉพาะ จากนั้นจะถอดรหัสข้อมูลโดยใช้ XOR และขยายขนาดผ่าน RtlDecompressBuffer API ขั้นตอนต่อไปเกี่ยวข้องกับการโหลด Windows DLL ที่ถูกต้องตามกฎหมายซึ่งระบุไว้ในการกำหนดค่า โดยเขียนเชลล์โค้ดลงในส่วน .text เพื่อดำเนินการ มันใช้ Heaven's Gate เพื่อหลีกเลี่ยง hooks โหมดผู้ใช้และแทรกเชลล์โค้ดเพิ่มเติมลงใน cmd.exe เชลล์โค้ดขั้นตอนที่สามจะอัดเพย์โหลดสุดท้าย เช่น สัญญาณ Cobalt Strike ลงใน logagent.exe โดยใช้กระบวนการกลวง

HijackLoader ใช้กลยุทธ์การหลีกเลี่ยงที่หลากหลาย รวมถึงการเลี่ยงผ่านตะขอของ Heaven's Gate และการปลด DLLs ที่ตรวจสอบโดยเครื่องมือรักษาความปลอดภัย โดยจะใช้รูปแบบการกลวงของกระบวนการและการเจาะรูแบบทรานแซคชันสำหรับการฉีด ผสมผสานส่วนทรานแซคชันและการประกบกระบวนการเข้ากับการเจาะ DLL เพื่อหลบเลี่ยงการตรวจจับเพิ่มเติม

HijackLoader มาพร้อมกับเทคนิคการป้องกันการตรวจจับที่หลากหลาย

เทคนิคการหลีกเลี่ยงหลักที่ HijackLoader และ Shellcode ใช้ ได้แก่:

• ตะขอบายพาส:
• ประตูสวรรค์
• ปลดตะขอ
• กระบวนการรูปแบบกลวง
• รูปแบบการกลวงของกระบวนการแบบโต้ตอบ:

• การวิเคราะห์การค้า

• Transacted Hollowing (ส่วนที่ทำธุรกรรม/Doppelgänger + Hollowing)

• การทำธุรกรรมส่วน Hollowing

• กระบวนการกลวง

การใช้ HijackLoader เน้นย้ำถึงความสำคัญที่สำคัญของมาตรการรักษาความปลอดภัยทางไซเบอร์เชิงรุกเพื่อระบุและป้องกันการโจมตีที่แอบแฝงดังกล่าว

องค์กรควรให้ความสำคัญกับการตรวจสอบความปลอดภัยเป็นประจำ ใช้การป้องกันอุปกรณ์ปลายทางที่มีประสิทธิภาพ และรับทราบข้อมูลเกี่ยวกับภัยคุกคามที่เกิดขึ้นใหม่เพื่อป้องกันกลยุทธ์ที่เปลี่ยนแปลงซึ่งใช้โดยผู้กระทำผิดที่มีจิตใจไม่ดีอย่างมีประสิทธิภาพ

นอกเหนือจากมาตรการเหล่านี้แล้ว การให้ความรู้แก่ผู้ใช้และการฝึกอบรมการรับรู้ยังมีบทบาทสำคัญในการลดความเสี่ยงที่เกี่ยวข้องของการโจมตีที่ซับซ้อนเหล่านี้