La nuova versione di HijackLoader utilizza l'evasione avanzata delle minacce
Gli autori delle minacce sfruttano la potenza di HijackLoader come strumento affidabile per incorporare codice dannoso in processi legittimi, facilitando l'esecuzione discreta dei payload. Questo metodo consente loro di aggirare il rilevamento utilizzando applicazioni attendibili per eseguire azioni dannose. Questa complessità pone sfide alle misure di sicurezza per riconoscere e contrastare efficacemente la minaccia.
Recentemente, i ricercatori di sicurezza informatica di CrowdStrike hanno scoperto una versione di HijackLoader (noto anche come IDAT Loader) che impiega tecniche avanzate per eludere il rilevamento. I ricercatori di CrowdStrike hanno identificato l’evoluzione di HijackLoader, incorporando nuove strategie di evasione della difesa come lo svuotamento del processo, l’attivazione attivata dal tubo e una combinazione di doppelganging del processo. Questi perfezionamenti ne aumentano la segretezza e lo rendono più resistente alle analisi, accompagnati dalla scoperta di ulteriori tecniche di sgancio.
HijackLoader elude il rilevamento
CrowdStrike ha rivelato un sofisticato campione di HijackLoader, avviato con streaming_client.exe. Questo esempio offusca una configurazione per eludere l'analisi statica e, utilizzando le API WinHTTP, testa la connettività Internet raggiungendo https[:]//nginx[.]org. Una volta stabilita la connessione, scarica una configurazione di seconda fase da un server remoto.
Dopo aver ottenuto la configurazione della seconda fase, il malware cerca i byte di intestazione PNG e un valore magico, decrittografando utilizzando XOR e decomprimendo con l'API RtlDecompressBuffer. Successivamente, carica una DLL Windows legittima specificata nella configurazione, scrivendo lo shellcode nella sua sezione .text per l'esecuzione. Utilizzando Heaven's Gate per aggirare gli hook della modalità utente, il malware inserisce ulteriori shellcode in cmd.exe. Lo shellcode della terza fase inserisce quindi un payload finale, come un beacon Cobalt Strike, in logagent.exe utilizzando il processo di svuotamento.
HijackLoader utilizza varie tattiche di evasione, tra cui il bypass dell'hook di Heaven's Gate e lo sgancio di DLL monitorate da strumenti di sicurezza. Inoltre, utilizza le variazioni del processo di svuotamento e lo svuotamento transazionale per l'iniezione, rendendolo una sfida formidabile per il rilevamento.
