Η νέα έκδοση HijackLoader χρησιμοποιεί προηγμένη αποφυγή απειλών
Οι φορείς απειλών αξιοποιούν τη δύναμη του HijackLoader ως ένα ισχυρό εργαλείο για την ενσωμάτωση κακόβουλου κώδικα σε νόμιμες διαδικασίες, διευκολύνοντας τη διακριτική εκτέλεση ωφέλιμων φορτίων. Αυτή η μέθοδος τους επιτρέπει να παρακάμπτουν την ανίχνευση χρησιμοποιώντας αξιόπιστες εφαρμογές για την εκτέλεση επιβλαβών ενεργειών. Αυτή η πολυπλοκότητα θέτει προκλήσεις για τα μέτρα ασφαλείας για την αποτελεσματική αναγνώριση και αντιμετώπιση της απειλής.
Πρόσφατα, ερευνητές κυβερνοασφάλειας στο CrowdStrike ανακάλυψαν μια έκδοση του HijackLoader (γνωστό και ως IDAT Loader) που χρησιμοποιεί προηγμένες τεχνικές για να αποφύγει τον εντοπισμό. Οι ερευνητές του CrowdStrike εντόπισαν την εξέλιξη του HijackLoader, ενσωματώνοντας νέες στρατηγικές αμυντικής αποφυγής, όπως το άνοιγμα διεργασιών, η ενεργοποίηση μέσω σωλήνων και ένας συνδυασμός παραμόρφωσης διεργασιών. Αυτές οι βελτιώσεις ενισχύουν τη μυστικότητά του και το καθιστούν πιο ανθεκτικό στην ανάλυση, συνοδευόμενες από την ανακάλυψη πρόσθετων τεχνικών απαγκίστρωσης.
Το HijackLoader Evades Detection
Ένα εξελιγμένο δείγμα HijackLoader αποκαλύφθηκε από το CrowdStrike, ξεκινώντας με το streaming_client.exe. Αυτό το δείγμα θολώνει μια διαμόρφωση για να αποφύγει τη στατική ανάλυση και, χρησιμοποιώντας WinHTTP API, δοκιμάζει τη συνδεσιμότητα στο Διαδίκτυο προσεγγίζοντας τη διεύθυνση https[:]//nginx[.]org. Μετά την επιτυχή σύνδεση, πραγματοποιεί λήψη μιας διαμόρφωσης δεύτερου σταδίου από έναν απομακρυσμένο διακομιστή.
Μετά την απόκτηση της διαμόρφωσης δεύτερου σταδίου, το κακόβουλο λογισμικό αναζητά byte κεφαλίδας PNG και μια μαγική τιμή, αποκρυπτογραφώντας χρησιμοποιώντας XOR και αποσυμπιέζοντας με το RtlDecompressBuffer API. Στη συνέχεια, φορτώνει ένα νόμιμο DLL των Windows που καθορίζεται στη διαμόρφωση, γράφοντας το shellcode στην ενότητα .text του για εκτέλεση. Χρησιμοποιώντας το Heaven's Gate για να παρακάμψει τα άγκιστρα λειτουργίας χρήστη, το κακόβουλο λογισμικό εισάγει πρόσθετους κώδικες κελύφους στο cmd.exe. Στη συνέχεια, ο shellcode τρίτου σταδίου εισάγει ένα τελικό ωφέλιμο φορτίο, όπως ένα Beacon Cobalt Strike, στο logagent.exe χρησιμοποιώντας τη διαδικασία hollowing.
Το HijackLoader χρησιμοποιεί διάφορες τακτικές αποφυγής, συμπεριλαμβανομένης της παράκαμψης αγκίστρου Heaven's Gate και της απαγκίστρωσης DLL που παρακολουθούνται από εργαλεία ασφαλείας. Επιπλέον, χρησιμοποιεί παραλλαγές κοίλωσης διεργασίας και κοίλωμα για έγχυση, καθιστώντας το μια τρομερή πρόκληση για ανίχνευση.
