新的 HijackLoader 版本使用高级威胁规避
威胁行为者利用 HijackLoader 作为一种强大的工具,将恶意代码嵌入到合法进程中,从而促进有效负载的谨慎执行。这种方法使他们能够通过使用受信任的应用程序来执行有害操作来绕过检测。这种复杂性对有效识别和应对威胁的安全措施提出了挑战。
最近,CrowdStrike 的网络安全研究人员发现了 HijackLoader(也称为 IDAT Loader)的一个版本,该版本采用先进技术来逃避检测。 CrowdStrike 研究人员确定了 HijackLoader 的演变,融入了新的防御规避策略,例如进程空洞、管道触发激活以及进程分身的组合。这些改进增强了它的隐秘性,使其更耐分析,同时还发现了额外的脱钩技术。
HijackLoader 逃避检测
CrowdStrike 披露了一个复杂的 HijackLoader 样本,该样本以 Streaming_client.exe 启动。此示例混淆配置以逃避静态分析,并使用 WinHTTP API 通过访问 https[:]//nginx[.]org 来测试互联网连接。连接成功后,它会从远程服务器下载第二阶段配置。
获得第二阶段配置后,恶意软件会搜索 PNG 标头字节和魔术值,使用 XOR 进行解密并使用 RtlDecompressBuffer API 进行解压缩。随后,它加载配置中指定的合法 Windows DLL,将 shellcode 写入其 .text 部分以供执行。该恶意软件利用 Heaven's Gate 绕过用户模式挂钩,将额外的 shellcode 注入 cmd.exe。然后,第三阶段 shellcode 使用进程空洞将最终有效负载(例如 Cobalt Strike 信标)注入到 logagent.exe 中。
HijackLoader 采用各种规避策略,包括 Heaven's Gate 钩子绕过和取消安全工具监控的 DLL。此外,它利用过程空心变化和交易空心进行注入,这使其成为检测的巨大挑战。