Nowa wersja programu HijackLoader wykorzystuje zaawansowane mechanizmy unikania zagrożeń

Podmioty zagrażające wykorzystują potencjał HijackLoader jako niezawodnego narzędzia do osadzania złośliwego kodu w legalnych procesach, ułatwiając dyskretne wykonywanie ładunków. Ta metoda umożliwia im ominięcie wykrycia poprzez wykorzystanie zaufanych aplikacji do przeprowadzenia szkodliwych działań. Ta złożoność stwarza wyzwania dla środków bezpieczeństwa, aby skutecznie rozpoznawać i przeciwdziałać zagrożeniu.

Niedawno badacze cyberbezpieczeństwa z CrowdStrike odkryli wersję programu HijackLoader (znanego również jako IDAT Loader) wykorzystującą zaawansowane techniki umożliwiające uniknięcie wykrycia. Badacze z CrowdStrike zidentyfikowali ewolucję programu HijackLoader, obejmującą nowe strategie unikania obrony, takie jak drążenie procesów, aktywacja wyzwalana przez rurę i połączenie duplikacji procesów. Te udoskonalenia zwiększają jego niewidzialność i czynią go bardziej odpornym na analizę, czemu towarzyszy odkrycie dodatkowych technik odczepiania.

HijackLoader unika wykrycia

Wyrafinowana próbka HijackLoader została ujawniona przez CrowdStrike, rozpoczynając od pliku streaming_client.exe. Ten przykład zaciemnia konfigurację, aby uniknąć analizy statycznej i przy użyciu interfejsów API WinHTTP testuje łączność z Internetem, kontaktując się z https[:]//nginx[.]org. Po udanym połączeniu pobiera konfigurację drugiego etapu ze zdalnego serwera.

Po uzyskaniu konfiguracji drugiego etapu szkodliwe oprogramowanie wyszukuje bajty nagłówka PNG i magiczną wartość, odszyfrowując za pomocą XOR i dekompresując za pomocą interfejsu API RtlDecompressBuffer. Następnie ładuje legalną bibliotekę DLL systemu Windows określoną w konfiguracji i zapisuje kod powłoki do sekcji .text w celu wykonania. Wykorzystując Heaven's Gate do ominięcia haków trybu użytkownika, szkodliwe oprogramowanie wstrzykuje dodatkowe kody powłoki do cmd.exe. Następnie kod powłoki trzeciego etapu wstrzykuje końcowy ładunek, taki jak sygnał ostrzegawczy Cobalt Strike, do pliku logagent.exe, korzystając z drążenia procesu.

HijackLoader wykorzystuje różne taktyki unikania, w tym obejście haka Heaven's Gate i odhaczanie bibliotek DLL monitorowanych przez narzędzia bezpieczeństwa. Dodatkowo wykorzystuje odmiany drążenia procesowego i drążenia transakcyjnego do wtryskiwania, co czyni go ogromnym wyzwaniem w zakresie wykrywania.