HijackLoader

Ang deployment ng HijackLoader ng mga aktor ng pagbabanta ay lalong naging laganap dahil sa pagiging epektibo nito sa pagpasok ng malisyosong code sa mga lehitimong proseso, na nagpapadali sa maingat na pagpapatupad ng mga payload. Binibigyang-daan sila ng diskarteng ito na maiwasan ang pagtuklas sa pamamagitan ng paggamit ng mga pinagkakatiwalaang application para sa mga hindi ligtas na aktibidad, na lumilikha ng mas mapaghamong kapaligiran para sa mga hakbang sa seguridad upang matukoy at malabanan ang pagbabanta nang epektibo. Ang mga obserbasyon ng mga mananaliksik ay nagpapakita ng mga pagkakataon ng HijackLoader (kilala rin bilang IDAT Loader) na gumagamit ng mga sopistikadong pamamaraan upang maiwasan ang pagtuklas.

Ang HijackLoader ay Nagpapakita ng Mga Nabagong Kakayahang Pagbabanta

Natukoy ng mga mananaliksik ang ebolusyon ng HijackLoader, na nagsasama ng mga bagong diskarte sa pag-iwas sa pagtatanggol tulad ng proseso ng pag-hollowing, pipe-triggered activation, at isang kumbinasyon ng proseso ng doppelganging. Pinapahusay ng mga pagpapahusay na ito ang pagiging stealthiness at pagiging kumplikado nito, na ginagawang mas mahirap ang pagsusuri. Bukod pa rito, gumagamit ang malware ng mga karagdagang diskarte sa pag-unhooking, na higit na nag-aambag sa mga kakayahan nitong umiwas.

Sinisimulan ng sopistikadong HijackLoader ang mga operasyon nito sa pamamagitan ng streaming_client.exe, na nagpapalabo ng configuration upang hadlangan ang static na pagsusuri. Gamit ang mga WinHTTP API, sinusubok nito ang koneksyon sa Internet sa pamamagitan ng pakikipag-ugnayan sa https://nginx.org. Sa matagumpay na koneksyon, kinukuha nito ang pangalawang yugto ng pagsasaayos mula sa isang malayong server.

Kapag nilagyan na ng second-stage config, ang malware ay nag-scan para sa PNG header byte at isang partikular na magic value. Kasunod nito, dini-decrypt nito ang impormasyon gamit ang XOR at i-decompress ito sa pamamagitan ng RtlDecompressBuffer API. Ang susunod na hakbang ay nagsasangkot ng paglo-load ng isang lehitimong Windows DLL na tinukoy sa configuration, pagsusulat ng shellcode sa .text na seksyon nito para sa pagpapatupad. Ginagamit nito ang Heaven's Gate upang iwasan ang mga hook ng user mode at mag-inject ng karagdagang mga shellcode sa cmd.exe. Ang third-stage na shellcode ay nag-inject ng isang panghuling payload, tulad ng isang Cobalt Strike beacon, sa logagent.exe gamit ang proseso ng hollowing.

Gumagamit ang HijackLoader ng iba't ibang mga diskarte sa pag-iwas, kabilang ang Heaven's Gate hook bypass at unhooking DLLs na sinusubaybayan ng mga tool sa seguridad. Gumagamit ito ng mga variation ng process hollowing at transacted hollowing para sa injection, pagsasama-sama ng transacted section at process doppelgänging na may DLL hollowing upang maiwasan ang pagtuklas.

Ang HijackLoader ay Nilagyan ng Maramihang Anti-detection Technique

Ang mga pangunahing diskarte sa pag-iwas na ginagamit ng HijackLoader at Shellcode ay kinabibilangan ng:

• Hook Bypass:
• Pasukan ng langit
• Pag-unhook
• Proseso ng Hollowing Variation

Ang paggamit ng HijackLoader ay binibigyang-diin ang kritikal na kahalagahan ng mga proactive na hakbang sa cybersecurity upang matukoy at maiwasan ang mga palihim na pag-atake.

Dapat bigyang-diin ng mga organisasyon ang mga nakagawiang pag-audit sa seguridad, magpatupad ng matatag na proteksyon sa endpoint, at manatiling may kaalaman tungkol sa mga umuusbong na banta upang ipagtanggol laban sa mga umuusbong na taktika na epektibong ginagamit ng mga walang pag-iisip na aktor.

Bilang karagdagan sa mga hakbang na ito, ang edukasyon ng gumagamit at pagsasanay sa kamalayan ay gumaganap ng isang mahalagang papel sa pagpapagaan sa mga nauugnay na panganib ng mga sopistikadong vector ng pag-atake na ito.