HijackLoader

Việc triển khai HijackLoader bởi các tác nhân đe dọa ngày càng trở nên phổ biến do tính hiệu quả của nó trong việc đưa mã độc vào các quy trình hợp pháp, tạo điều kiện thuận lợi cho việc thực thi tải trọng một cách kín đáo. Kỹ thuật này cho phép họ tránh bị phát hiện bằng cách sử dụng các ứng dụng đáng tin cậy cho các hoạt động không an toàn, tạo ra môi trường thách thức hơn cho các biện pháp bảo mật nhằm xác định và chống lại mối đe dọa một cách hiệu quả. Quan sát của các nhà nghiên cứu cho thấy các trường hợp HijackLoader (còn được gọi là IDAT Loader) sử dụng các kỹ thuật phức tạp để tránh bị phát hiện.

HijackLoader thể hiện khả năng đe dọa tiến hóa

Các nhà nghiên cứu đã xác định được sự phát triển của HijackLoader, kết hợp các kỹ thuật trốn tránh phòng thủ mới như làm rỗng quy trình, kích hoạt kích hoạt đường ống và kết hợp quá trình doppelganging. Những cải tiến này nâng cao khả năng tàng hình và độ phức tạp của nó, khiến việc phân tích trở nên khó khăn hơn. Ngoài ra, phần mềm độc hại còn sử dụng các kỹ thuật bẻ khóa bổ sung, góp phần tăng thêm khả năng lẩn tránh của nó.

HijackLoader tinh vi bắt đầu hoạt động thông qua streaming_client.exe, làm xáo trộn cấu hình để cản trở việc phân tích tĩnh. Bằng cách sử dụng API WinHTTP, nó kiểm tra kết nối Internet bằng cách liên hệ với https://nginx.org. Sau khi kết nối thành công, nó sẽ truy xuất cấu hình giai đoạn hai từ máy chủ từ xa.

Sau khi được trang bị cấu hình giai đoạn hai, phần mềm độc hại sẽ quét các byte tiêu đề PNG và một giá trị ma thuật cụ thể. Sau đó, nó giải mã thông tin bằng XOR và giải nén thông tin đó thông qua API RtlDecompressBuffer. Bước tiếp theo liên quan đến việc tải một Windows DLL hợp pháp được chỉ định trong cấu hình, viết shellcode vào phần .text của nó để thực thi. Nó sử dụng Heaven's Gate để phá vỡ các hook chế độ người dùng và chèn thêm shellcode vào cmd.exe. Shellcode giai đoạn thứ ba đưa tải trọng cuối cùng, giống như đèn hiệu Cobalt Strike , vào logagent.exe bằng cách sử dụng tính năng làm rỗng quy trình.

HijackLoader sử dụng nhiều chiến lược trốn tránh khác nhau, bao gồm vượt qua cổng Heaven's Gate và mở các DLL được giám sát bởi các công cụ bảo mật. Nó sử dụng các biến thể làm rỗng của quy trình và làm rỗng được giao dịch để tiêm, kết hợp phần được giao dịch và xử lý doppelgänging với làm rỗng DLL để tránh bị phát hiện thêm.

HijackLoader được trang bị nhiều kỹ thuật chống phát hiện

Các kỹ thuật trốn tránh chính được HijackLoader và Shellcode sử dụng bao gồm:

• Móc bỏ qua:
• Cổng trời
• cởi móc
• Quá trình biến đổi rỗng

Việc sử dụng HijackLoader nhấn mạnh tầm quan trọng đặc biệt của các biện pháp an ninh mạng chủ động nhằm xác định và ngăn chặn các cuộc tấn công lén lút như vậy.

Các tổ chức nên chú trọng vào việc kiểm tra bảo mật định kỳ, triển khai biện pháp bảo vệ điểm cuối mạnh mẽ và luôn cập nhật thông tin về các mối đe dọa mới nổi để chống lại các chiến thuật đang phát triển được sử dụng bởi những kẻ xấu xa một cách hiệu quả.

Ngoài các biện pháp này, giáo dục người dùng và đào tạo nhận thức đóng một vai trò quan trọng trong việc giảm thiểu rủi ro liên quan đến các vectơ tấn công tinh vi này.