Neue HijackLoader-Version nutzt Advanced Threat Evasion
Bedrohungsakteure nutzen die Leistungsfähigkeit von HijackLoader als robustes Tool zum Einbetten von Schadcode in legitime Prozesse und erleichtern so die diskrete Ausführung von Payloads. Mit dieser Methode können sie die Erkennung umgehen, indem sie vertrauenswürdige Anwendungen nutzen, um schädliche Aktionen auszuführen. Diese Komplexität stellt Sicherheitsmaßnahmen vor Herausforderungen, um die Bedrohung wirksam zu erkennen und abzuwehren.
Kürzlich haben Cybersicherheitsforscher von CrowdStrike eine Version von HijackLoader (auch bekannt als IDAT Loader) entdeckt, die fortschrittliche Techniken einsetzt, um der Entdeckung zu entgehen. CrowdStrike-Forscher identifizierten die Entwicklung von HijackLoader, die neue Abwehrstrategien wie Prozessaushöhlung, durch Pipes ausgelöste Aktivierung und eine Kombination aus Prozessdoppelgängen beinhaltete. Diese Verfeinerungen erhöhen seine Tarnung und machen ihn widerstandsfähiger gegen Analysen, begleitet von der Entdeckung zusätzlicher Enthüllungstechniken.
HijackLoader entgeht der Erkennung
CrowdStrike hat ein ausgefeiltes HijackLoader-Beispiel enthüllt, das mit „streaming_client.exe“ gestartet wurde. Dieses Beispiel verschleiert eine Konfiguration, um einer statischen Analyse zu entgehen, und testet mithilfe von WinHTTP-APIs die Internetkonnektivität, indem eine Verbindung zu https[:]//nginx[.]org hergestellt wird. Bei erfolgreicher Verbindung lädt es eine Konfiguration der zweiten Stufe von einem Remote-Server herunter.
Nach Erhalt der Konfiguration der zweiten Stufe sucht die Malware nach PNG-Header-Bytes und einem magischen Wert, entschlüsselt sie mit XOR und dekomprimiert sie mit der RtlDecompressBuffer-API. Anschließend lädt es eine legitime Windows-DLL, die in der Konfiguration angegeben ist, und schreibt den Shellcode zur Ausführung in seinen .text-Abschnitt. Mithilfe von Heaven's Gate umgeht die Malware Benutzermodus-Hooks und fügt zusätzliche Shellcodes in cmd.exe ein. Der Shellcode der dritten Stufe injiziert dann mithilfe von Process Hollowing eine letzte Nutzlast, beispielsweise einen Cobalt Strike-Beacon, in logagent.exe.
HijackLoader nutzt verschiedene Umgehungstaktiken, darunter die Hook-Umgehung von Heaven's Gate und das Unhooking von DLLs, die von Sicherheitstools überwacht werden. Darüber hinaus nutzt es prozessbasierte Aushöhlungsvarianten und durchgeführte Aushöhlungen für die Injektion, was es zu einer gewaltigen Herausforderung für die Erkennung macht.