HijackLoader

Розгортання HijackLoader суб’єктами загроз стає все більш поширеним через його ефективність у впровадженні зловмисного коду в законні процеси, сприяючи непомітному виконанню корисних навантажень. Ця техніка дозволяє їм уникнути виявлення, використовуючи надійні програми для небезпечних дій, створюючи більш складне середовище для заходів безпеки для виявлення та ефективної протидії загрозі. Спостереження дослідників виявили випадки HijackLoader (також відомого як IDAT Loader), які використовують складні методи, щоб уникнути виявлення.

HijackLoader демонструє розширені загрозливі можливості

Дослідники визначили еволюцію HijackLoader, що включає нові методи ухилення від захисту, такі як порожнення процесу, активація, що запускається каналом, і комбінація подвійного процесу. Ці вдосконалення підвищують його прихованість і складність, роблячи аналіз більш складним. Крім того, зловмисне програмне забезпечення використовує додаткові методи відключення, що ще більше сприяє його можливостям уникнення.

Складний HijackLoader ініціює свої операції через streaming_client.exe, який маскує конфігурацію, щоб перешкодити статичному аналізу. Використовуючи WinHTTP API, він перевіряє з’єднання з Інтернетом, звернувшись до https://nginx.org. Після успішного підключення він отримує конфігурацію другого етапу з віддаленого сервера.

Після встановлення конфігурації другого етапу зловмисне програмне забезпечення шукає байти заголовка PNG і певне магічне значення. Згодом він розшифровує інформацію за допомогою XOR і розпаковує її через API RtlDecompressBuffer. Наступний крок передбачає завантаження легітимної бібліотеки Windows DLL, зазначеної в конфігурації, запис шелл-коду в її розділ .text для виконання. Він використовує Heaven's Gate, щоб обійти перехоплення режиму користувача та вставляє додаткові шелл-коди в cmd.exe. Шел-код третього етапу вводить остаточне корисне навантаження, як-от маяк Cobalt Strike , у logagent.exe за допомогою процесу hollowing.

HijackLoader використовує різні стратегії ухилення, включаючи обхід гаків Heaven's Gate і відключення DLL, які контролюються інструментами безпеки. У ньому використовуються варіації видалення процесів і видалення транзакцій для ін’єкції, поєднуючи дублювання розділу транзакцій і процесів із видаленням DLL, щоб уникнути подальшого виявлення.

HijackLoader оснащено кількома методами захисту від виявлення

Основні методи ухилення, які використовують HijackLoader і Shellcode, включають:

• Обхід гачка:
• Небесні ворота
• Відчеплення
• Варіація порожнистого процесу

Використання HijackLoader підкреслює критичну важливість проактивних заходів кібербезпеки для виявлення та запобігання таким прихованим атакам.

Організаціям слід приділяти увагу регулярним перевіркам безпеки, запроваджувати надійний захист кінцевих точок і бути в курсі нових загроз, щоб ефективно захищатися від нових тактик, які використовують недоброзичливці.

На додаток до цих заходів освіта користувачів і тренінги з підвищення обізнаності відіграють вирішальну роль у зниженні ризиків, пов’язаних із цими складними векторами атак.