Ny HijackLoader-version bruger avanceret trusselunddragelse
Trusselaktører udnytter styrken af HijackLoader som et robust værktøj til at indlejre ondsindet kode i legitime processer, hvilket letter den diskrete eksekvering af nyttelast. Denne metode gør det muligt for dem at omgå detektion ved at anvende betroede applikationer til at udføre skadelige handlinger. Denne kompleksitet giver udfordringer for sikkerhedsforanstaltninger til effektivt at genkende og modvirke truslen.
For nylig afslørede cybersikkerhedsforskere ved CrowdStrike en version af HijackLoader (også kendt som IDAT Loader), der anvender avancerede teknikker til at undgå detektion. CrowdStrike-forskere identificerede udviklingen af HijackLoader, der inkorporerede nye forsvarsunddragelsesstrategier såsom procesudhulning, rørudløst aktivering og en kombination af procesdoppelganging. Disse raffinementer forbedrer dens snighed og gør den mere modstandsdygtig over for analyser, ledsaget af opdagelsen af yderligere afkrogningsteknikker.
HijackLoader undgår registrering
En sofistikeret HijackLoader-prøve blev afsløret af CrowdStrike, initieret med streaming_client.exe. Denne prøve slører en konfiguration for at undgå statisk analyse, og ved hjælp af WinHTTP API'er tester internetforbindelsen ved at kontakte https[:]//nginx[.]org. Efter vellykket forbindelse downloader den en anden trins konfiguration fra en ekstern server.
Ved opnåelse af anden trins konfiguration søger malwaren efter PNG-header-bytes og en magisk værdi, dekrypterer ved hjælp af XOR og dekomprimerer med RtlDecompressBuffer API. Efterfølgende indlæser den en legitim Windows DLL, der er angivet i konfigurationen, og skriver shell-koden til dens .text-sektion til udførelse. Ved at bruge Heaven's Gate til at omgå brugertilstandshooks injicerer malwaren yderligere shell-koder i cmd.exe. Tredje trins shellcode injicerer derefter en endelig nyttelast, såsom et Cobalt Strike-beacon, i logagent.exe ved hjælp af procesudhulning.
HijackLoader anvender forskellige undvigelsestaktikker, herunder Heaven's Gate hook bypass og afhooking DLL'er overvåget af sikkerhedsværktøjer. Derudover anvender den procesudhulningsvariationer og transageret udhulning til injektion, hvilket gør det til en formidabel udfordring for detektion.
