Naujoji HijackLoader versija naudoja išplėstinį grėsmių išvengimą

Grėsmių dalyviai naudojasi HijackLoader, kaip patikimo įrankio, leidžiančio įterpti kenkėjišką kodą į teisėtus procesus, galia, palengvinant diskretišką naudingų krovinių vykdymą. Šis metodas leidžia jiems apeiti aptikimą naudojant patikimas programas žalingiems veiksmams atlikti. Šis sudėtingumas kelia iššūkių saugumo priemonėms, siekiant veiksmingai atpažinti grėsmę ir jai atremti.

Neseniai „CrowdStrike“ kibernetinio saugumo tyrėjai atskleidė „HijackLoader“ versiją (taip pat žinomą kaip IDAT Loader), kurioje naudojami pažangūs metodai, siekiant išvengti aptikimo. „CrowdStrike“ tyrėjai nustatė „HijackLoader“ evoliuciją, apimančią naujas gynybos vengimo strategijas, tokias kaip proceso įdubimas, vamzdžių suaktyvinimas ir procesų susiejimo derinys. Šie patobulinimai padidina jo slaptumą ir daro jį atsparesnį analizei, kartu atrandami papildomi atkabinimo būdai.

HijackLoader vengia aptikimo

„CrowdStrike“ atskleidė sudėtingą „HijackLoader“ pavyzdį, inicijavusi su streaming_client.exe. Šis pavyzdys užtemdo konfigūraciją, kad išvengtų statinės analizės, ir, naudodamas WinHTTP API, išbando interneto ryšį, susisiekdamas su https[:]//nginx[.]org. Sėkmingai prisijungus, jis atsisiunčia antrojo etapo konfigūraciją iš nuotolinio serverio.

Gavusi antrojo etapo konfigūraciją, kenkėjiška programa ieško PNG antraštės baitų ir stebuklingos reikšmės, iššifruoja naudojant XOR ir išskleidžiama naudojant RtlDecompressBuffer API. Vėliau jis įkelia teisėtą Windows DLL, nurodytą konfigūracijoje, įrašydamas apvalkalo kodą į savo .text sekciją, kad būtų vykdomas. Naudodama Dangaus vartus, kad apeitų vartotojo režimo kabliukus, kenkėjiška programa įterpia papildomus apvalkalo kodus į cmd.exe. Tada trečiosios pakopos apvalkalo kodas įterpia galutinę naudingąją apkrovą, pvz., „Cobalt Strike“ švyturį, į logagent.exe, naudodamas proceso tuščiavidurį procesą.

„HijackLoader“ taiko įvairias vengimo taktikas, įskaitant „Heaven's Gate“ kablio apėjimą ir DLL atkabinimą, stebimą saugos įrankiais. Be to, jame naudojami proceso ištuštinimo variantai ir atliktas ištuštinimas injekcijoms, todėl tai yra didžiulis iššūkis aptikti.