HijackLoader

威脅行為者部署 HijackLoader 已變得越來越普遍，因為它能夠將惡意程式碼注入合法進程，從而促進有效負載的謹慎執行。這項技術使他們能夠利用可信任應用程式進行不安全活動來避免檢測，從而為有效識別和應對威脅的安全措施創造更具挑戰性的環境。研究人員的觀察揭示了 HijackLoader（也稱為 IDAT Loader）採用複雜技術來逃避檢測的實例。

HijackLoader 展現出不斷發展的威脅能力

研究人員已經確定了 HijackLoader 的演變，融合了新的防禦規避技術，例如進程空洞、管道觸發激活以及進程分身的組合。這些增強功能增強了其隱藏性和複雜性，使分析變得更具挑戰性。此外，該惡意軟體還採用了額外的脫鉤技術，進一步增強了其規避能力。

複雜的 HijackLoader 透過 Streaming_client.exe 啟動其操作，這會混淆配置以阻止靜態分析。它利用 WinHTTP API，透過存取 https://nginx.org 來測試網路連線。連接成功後，它會從遠端伺服器檢索第二階段配置。

一旦配備了第二階段配置，惡意軟體就會掃描 PNG 標頭位元組和特定的魔法值。隨後，它使用 XOR 解密資訊並透過 RtlDecompressBuffer API 對其進行解壓縮。下一步涉及載入配置中指定的合法 Windows DLL，將 shellcode 寫入其 .text 部分以供執行。它利用 Heaven's Gate 來規避使用者模式掛鉤，並將額外的 shellcode 注入 cmd.exe。第三階段 shellcode 使用進程空洞將最終有效負載（如Cobalt Strike信標）注入到 logagent.exe 中。

HijackLoader 採用各種規避策略，包括 Heaven's Gate 鉤子繞過和取消安全工具監控的 DLL。它利用進程空洞變化和事務空洞進行注入，將事務部分和進程雙重空洞與 DLL 空洞結合，以進一步逃避偵測。

HijackLoader配備多重反偵測技術

HijackLoader 和 Shellcode 採用的主要規避技術包括：

• 鉤繞過：
• 天堂之門
• 脫鉤
• 製程鏤空變化
• 互動式過程鏤空變化：

• 情報分析

• 處理空心（處理部分/分身 + 空心）

• 處理斷面鏤空

• 工藝鏤空

HijackLoader 的使用強調了主動網路安全措施對於識別和防止此類秘密攻擊的至關重要性。

組織應重視例行安全審計，實施強大的端點保護，並隨時了解新出現的威脅，以有效防禦心懷不軌的行為者所採取的不斷變化的策略。

除了這些措施之外，使用者教育和意識培訓在減輕這些複雜攻擊媒介的相關風險方面也發揮著至關重要的作用。