HijackLoader

HijackLoader'ın tehdit aktörleri tarafından konuşlandırılması, meşru süreçlere kötü amaçlı kod yerleştirme ve yüklerin gizli bir şekilde yürütülmesini kolaylaştırma konusundaki etkinliği nedeniyle giderek daha yaygın hale geldi. Bu teknik, güvenli olmayan faaliyetler için güvenilir uygulamaları kullanarak tespit edilmekten kaçınmalarına olanak tanır ve tehdidi etkili bir şekilde tespit edip karşı koyacak güvenlik önlemleri için daha zorlu bir ortam yaratır. Araştırmacıların gözlemleri, HijackLoader'ın (IDAT Loader olarak da bilinir) tespit edilmekten kaçınmak için karmaşık teknikler kullandığını ortaya koyuyor.

HijackLoader Gelişmiş Tehdit Yetenekleri Sergiliyor

Araştırmacılar, HijackLoader'ın süreç oyma, boru tetiklemeli aktivasyon ve süreç eşlemesinin bir kombinasyonu gibi yeni savunmadan kaçınma tekniklerini içeren evrimini belirlediler. Bu geliştirmeler gizliliğini ve karmaşıklığını artırarak analizi daha zorlu hale getiriyor. Ek olarak, kötü amaçlı yazılım, ekstra kancayı kaldırma teknikleri kullanarak kaçınma yeteneklerine daha da katkıda bulunur.

Gelişmiş HijackLoader, statik analizi engellemek için yapılandırmayı gizleyen Streaming_client.exe aracılığıyla işlemlerini başlatır. WinHTTP API'lerini kullanarak https://nginx.org adresine ulaşarak İnternet bağlantısını test eder. Başarılı bağlantı sonrasında uzak sunucudan ikinci aşama konfigürasyonunu alır.

Kötü amaçlı yazılım, ikinci aşama yapılandırmayla donatıldığında PNG başlık baytlarını ve belirli bir sihirli değeri tarar. Daha sonra XOR kullanarak bilgilerin şifresini çözer ve RtlDecompressBuffer API'si aracılığıyla sıkıştırmayı açar. Bir sonraki adım, yapılandırmada belirtilen meşru bir Windows DLL dosyasının yüklenmesini ve kabuk kodunun yürütülmek üzere .text bölümüne yazılmasını içerir. Kullanıcı modu kancalarını atlatmak için Heaven's Gate'i kullanır ve cmd.exe'ye ek kabuk kodları enjekte eder. Üçüncü aşama kabuk kodu, Cobalt Strike işaretçisi gibi son bir veriyi işlem boşaltmayı kullanarak logagent.exe'ye enjekte eder.

HijackLoader, Heaven's Gate kancasını atlama ve güvenlik araçları tarafından izlenen DLL'lerin kancasını kaldırma dahil olmak üzere çeşitli kaçırma stratejileri kullanır. Tespitten daha fazla kaçınmak için işlem yapılan bölüm ve işlem eşlemesini DLL boşaltma ile birleştirerek enjeksiyon için işlem oyma varyasyonlarını ve işlem görmüş oymayı kullanır.

HijackLoader Çoklu Algılama Önleme Teknikleriyle Donatılmıştır

HijackLoader ve Shellcode tarafından kullanılan başlıca kaçınma teknikleri şunları içerir:

• Kanca Baypası:
• Cennetin Kapısı
• Askıdan çıkarma
• Proses Boşaltma Değişimi
• İnteraktif Süreç Boşaltma Varyasyonu:

• Ticaret Analizi

• İşlem Görmüş İçi Boşaltma (İşlem Görmüş Bölüm/Doppelgänger + İçi Boşaltma)

• İşlem Görmüş Bölüm Boşaltma

• Proses Boşaltma

HijackLoader'ın kullanılması, bu tür gizli saldırıları tespit etmek ve önlemek için proaktif siber güvenlik önlemlerinin kritik öneminin altını çiziyor.

Kuruluşlar, kötü niyetli aktörlerin etkili bir şekilde kullandığı gelişen taktiklere karşı savunma yapmak için rutin güvenlik denetimlerine önem vermeli, güçlü uç nokta koruması uygulamalı ve ortaya çıkan tehditler hakkında bilgi sahibi olmalıdır.

Bu önlemlere ek olarak, kullanıcı eğitimi ve farkındalık eğitimleri de bu karmaşık saldırı vektörleriyle ilişkili risklerin azaltılmasında önemli bir rol oynamaktadır.