新しい HijackLoader バージョンは高度な脅威回避を使用します
脅威アクターは、悪意のあるコードを正規のプロセスに埋め込み、ペイロードの慎重な実行を容易にする強力なツールとして HijackLoader の潜在力を利用します。この方法では、信頼できるアプリケーションを使用して有害なアクションを実行することで、検出を回避できます。この複雑さにより、脅威を効果的に認識して対抗するためのセキュリティ対策に課題が生じています。
最近、CrowdStrike のサイバーセキュリティ研究者は、検出を回避するために高度な技術を使用している HijackLoader (IDAT Loader としても知られる) のバージョンを発見しました。 CrowdStrike の研究者は、プロセスの空洞化、パイプトリガーによるアクティベーション、プロセスのドッペルガンジングの組み合わせなど、新しい防御回避戦略を組み込んだ HijackLoader の進化を特定しました。これらの改良により、ステルス性が強化され、分析に対する耐性が向上し、さらに追加のフック解除技術の発見も行われました。
HijackLoader が検出を回避
洗練された HijackLoader サンプルが CrowdStrike によって公開され、streaming_client.exe で開始されました。このサンプルは、構成を難読化して静的分析を回避し、WinHTTP API を使用して https[:]//nginx[.]org にアクセスしてインターネット接続をテストします。接続に成功すると、リモート サーバーから第 2 段階の構成がダウンロードされます。
第 2 段階の構成を取得すると、マルウェアは PNG ヘッダー バイトとマジック値を検索し、XOR を使用して復号化し、RtlDecompressBuffer API で解凍します。その後、構成で指定された正規の Windows DLL をロードし、実行のためにシェルコードを .text セクションに書き込みます。このマルウェアは、Heaven's Gate を利用してユーザー モード フックをバイパスし、追加のシェルコードを cmd.exe に挿入します。次に、第 3 段階のシェルコードは、プロセス ハローイングを使用して、Cobalt Strike ビーコンなどの最終ペイロードを logagent.exe に挿入します。
HijackLoader は、Heaven's Gate フック バイパスやセキュリティ ツールによって監視されている DLL のフック解除など、さまざまな回避戦術を採用しています。さらに、プロセスのホロー化のバリエーションと注入のトランザクションによるホロー化を利用するため、検出が非常に困難になります。