Ny HijackLoader-versjon bruker Advanced Threat Evasion
Trusselaktører drar nytte av styrken til HijackLoader som et robust verktøy for å bygge inn ondsinnet kode i legitime prosesser, noe som letter diskret utførelse av nyttelaster. Denne metoden lar dem omgå deteksjon ved å bruke pålitelige applikasjoner for å utføre skadelige handlinger. Denne kompleksiteten gir utfordringer for sikkerhetstiltak for å effektivt gjenkjenne og motvirke trusselen.
Nylig avdekket cybersikkerhetsforskere ved CrowdStrike en versjon av HijackLoader (også kjent som IDAT Loader) som bruker avanserte teknikker for å unngå deteksjon. CrowdStrike-forskere identifiserte utviklingen av HijackLoader, med nye forsvarsunndragelsesstrategier som prosessuthuling, rørutløst aktivering og en kombinasjon av prosessdoppelganging. Disse forbedringene forbedrer dens snikhet og gjør den mer motstandsdyktig mot analyser, ledsaget av oppdagelsen av ytterligere avkrokingsteknikker.
HijackLoader unngår deteksjon
En sofistikert HijackLoader-prøve ble avslørt av CrowdStrike, initiert med streaming_client.exe. Dette eksemplet tilslører en konfigurasjon for å unngå statisk analyse, og ved hjelp av WinHTTP-API-er, tester internett-tilkoblingen ved å kontakte https[:]//nginx[.]org. Ved vellykket tilkobling laster den ned en andre trinns konfigurasjon fra en ekstern server.
Etter å ha oppnådd andre trinns konfigurasjon, søker skadelig programvare etter PNG-headerbyte og en magisk verdi, dekrypterer ved hjelp av XOR og dekomprimerer med RtlDecompressBuffer API. Deretter laster den inn en legitim Windows DLL spesifisert i konfigurasjonen, og skriver shellcode til .text-delen for kjøring. Ved å bruke Heaven's Gate for å omgå brukermodushooks, injiserer skadelig programvare ytterligere skallkoder i cmd.exe. Tredje trinns shellcode injiserer deretter en endelig nyttelast, for eksempel et Cobalt Strike-beacon, inn i logagent.exe ved hjelp av prosessuthuling.
HijackLoader benytter forskjellige unnvikelsestaktikker, inkludert Heaven's Gate-krokbypass og avkroking av DLL-er overvåket av sikkerhetsverktøy. I tillegg bruker den prosessuthulingsvariasjoner og transaksjonert uthuling for injeksjon, noe som gjør det til en formidabel utfordring for deteksjon.
