Ny HijackLoader-version använder Advanced Threat Evasion
Hotaktörer utnyttjar styrkan hos HijackLoader som ett robust verktyg för att bädda in skadlig kod i legitima processer, vilket underlättar diskret exekvering av nyttolaster. Denna metod gör det möjligt för dem att kringgå upptäckt genom att använda betrodda applikationer för att utföra skadliga åtgärder. Denna komplexitet innebär utmaningar för säkerhetsåtgärder för att effektivt känna igen och motverka hotet.
Nyligen upptäckte cybersäkerhetsforskare vid CrowdStrike en version av HijackLoader (även känd som IDAT Loader) som använder avancerade tekniker för att undvika upptäckt. CrowdStrike-forskare identifierade utvecklingen av HijackLoader, som inkorporerade nya strategier för försvarsundandragande såsom processurholkning, rörutlöst aktivering och en kombination av processdubbelgång. Dessa förbättringar förbättrar dess smyghet och gör den mer motståndskraftig mot analys, tillsammans med upptäckten av ytterligare avkrokningstekniker.
HijackLoader undviker upptäckt
Ett sofistikerat HijackLoader-exempel avslöjades av CrowdStrike, som initierades med streaming_client.exe. Detta exempel fördunklar en konfiguration för att undvika statisk analys och, med hjälp av WinHTTP API:er, testar internetanslutning genom att kontakta https[:]//nginx[.]org. Efter lyckad anslutning laddar den ner en andrastegskonfiguration från en fjärrserver.
Efter att ha erhållit konfigurationen i andra steget, söker skadlig programvara efter PNG-huvudbyte och ett magiskt värde, dekrypterar med XOR och dekomprimerar med RtlDecompressBuffer API. Därefter laddar den en legitim Windows DLL specificerad i konfigurationen och skriver skalkoden till dess .text-avsnitt för exekvering. Genom att använda Heaven's Gate för att kringgå användarlägeskrokar, injicerar skadlig programvara ytterligare skalkoder i cmd.exe. Skalkoden i tredje steget injicerar sedan en slutlig nyttolast, såsom en Cobalt Strike-beacon, i logagent.exe med hjälp av process hollowing.
HijackLoader använder olika undanflyktstaktik, inklusive Heaven's Gate hook bypass och lossa DLL:er övervakade av säkerhetsverktyg. Dessutom använder den process-urhålningsvariationer och genomförd urholkning för injektion, vilket gör det till en formidabel utmaning för detektion.
