HijackLoader

威胁行为者部署 HijackLoader 已变得越来越普遍，因为它能够将恶意代码注入合法进程，从而促进有效负载的谨慎执行。这项技术使他们能够利用可信应用程序进行不安全活动来避免检测，从而为有效识别和应对威胁的安全措施创造更具挑战性的环境。研究人员的观察揭示了 HijackLoader（也称为 IDAT Loader）采用复杂技术来逃避检测的实例。

HijackLoader 展现出不断发展的威胁能力

研究人员已经确定了 HijackLoader 的演变，融合了新的防御规避技术，例如进程空洞、管道触发激活以及进程分身的组合。这些增强功能增强了其隐蔽性和复杂性，使分析变得更具挑战性。此外，该恶意软件还采用了额外的脱钩技术，进一步增强了其规避能力。

复杂的 HijackLoader 通过 Streaming_client.exe 启动其操作，这会混淆配置以阻止静态分析。它利用 WinHTTP API，通过访问 https://nginx.org 来测试互联网连接。连接成功后，它会从远程服务器检索第二阶段配置。

一旦配备了第二阶段配置，恶意软件就会扫描 PNG 标头字节和特定的魔法值。随后，它使用 XOR 解密信息并通过 RtlDecompressBuffer API 对其进行解压缩。下一步涉及加载配置中指定的合法 Windows DLL，将 shellcode 写入其 .text 部分以供执行。它利用 Heaven's Gate 来规避用户模式挂钩，并将额外的 shellcode 注入 cmd.exe。第三阶段 shellcode 使用进程空洞将最终有效负载（如Cobalt Strike信标）注入到 logagent.exe 中。

HijackLoader 采用各种规避策略，包括 Heaven's Gate 钩子绕过和取消安全工具监控的 DLL。它利用进程空洞变化和事务空洞进行注入，将事务部分和进程双重空洞与 DLL 空洞相结合，以进一步逃避检测。

HijackLoader配备多重反检测技术

HijackLoader 和 Shellcode 采用的主要规避技术包括：

• 钩绕过：
• 天堂之门
• 脱钩
• 工艺镂空变化
• 交互式过程镂空变化：

• 情报分析

• 处理空心（处理部分/分身 + 空心）

• 处理断面镂空

• 工艺镂空

HijackLoader 的使用强调了主动网络安全措施对于识别和防止此类秘密攻击的至关重要性。

组织应重视例行安全审计，实施强大的端点保护，并随时了解新出现的威胁，以有效防御心怀不轨的行为者所采用的不断变化的策略。

除了这些措施之外，用户教育和意识培训在减轻这些复杂攻击媒介的相关风险方面也发挥着至关重要的作用。