La nouvelle version de HijackLoader utilise l'évasion avancée des menaces
Les acteurs malveillants exploitent la puissance de HijackLoader en tant qu'outil robuste pour intégrer du code malveillant dans des processus légitimes, facilitant ainsi l'exécution discrète de charges utiles. Cette méthode leur permet de contourner la détection en utilisant des applications fiables pour effectuer des actions nuisibles. Cette complexité pose des défis aux mesures de sécurité pour reconnaître et contrecarrer efficacement la menace.
Récemment, des chercheurs en cybersécurité de CrowdStrike ont découvert une version de HijackLoader (également connue sous le nom d'IDAT Loader) employant des techniques avancées pour échapper à la détection. Les chercheurs de CrowdStrike ont identifié l'évolution de HijackLoader, intégrant de nouvelles stratégies d'évasion de la défense telles que l'évidement des processus, l'activation déclenchée par des tuyaux et une combinaison de doubles processus. Ces raffinements renforcent sa furtivité et le rendent plus résistant à l'analyse, accompagnés de la découverte de techniques de décrochage supplémentaires.
HijackLoader échappe à la détection
Un exemple sophistiqué de HijackLoader a été révélé par CrowdStrike, lancé avec streaming_client.exe. Cet exemple masque une configuration pour échapper à l'analyse statique et, à l'aide des API WinHTTP, teste la connectivité Internet en contactant https[:]//nginx[.]org. Une fois la connexion réussie, il télécharge une configuration de deuxième étape à partir d'un serveur distant.
Après avoir obtenu la configuration de deuxième étape, le malware recherche les octets d'en-tête PNG et une valeur magique, déchiffre à l'aide de XOR et décompresse avec l'API RtlDecompressBuffer. Par la suite, il charge une DLL Windows légitime spécifiée dans la configuration, écrivant le shellcode dans sa section .text pour exécution. En utilisant Heaven's Gate pour contourner les hooks du mode utilisateur, le malware injecte des shellcodes supplémentaires dans cmd.exe. Le shellcode de troisième étape injecte ensuite une charge utile finale, telle qu'une balise Cobalt Strike, dans logagent.exe en utilisant le creusement de processus.
HijackLoader utilise diverses tactiques d'évasion, notamment le contournement du crochet Heaven's Gate et le décrochage des DLL surveillées par des outils de sécurité. De plus, il utilise les variations de processus d’évidement et l’évidement effectué pour l’injection, ce qui en fait un formidable défi pour la détection.