新的 HijackLoader 版本使用進階威脅規避

威脅行為者利用 HijackLoader 作為強大的工具，將惡意程式碼嵌入合法進程中，從而促進有效負載的謹慎執行。這種方法使他們能夠透過使用受信任的應用程式來執行有害操作來繞過檢測。這種複雜性對有效識別和應對威脅的安全措施提出了挑戰。

最近，CrowdStrike 的網路安全研究人員發現了 HijackLoader（也稱為 IDAT Loader）的一個版本，該版本採用先進技術來逃避偵測。 CrowdStrike 研究人員確定了 HijackLoader 的演變，融入了新的防禦規避策略，例如進程空洞、管道觸發激活以及進程分身的組合。這些改進增強了它的隱密性，使其更耐分析，同時也發現了額外的脫鉤技術。

HijackLoader 逃避偵測

CrowdStrike 揭露了一個複雜的 HijackLoader 樣本，該樣本以 Streaming_client.exe 啟動。此範例混淆配置以逃避靜態分析，並使用 WinHTTP API 透過存取 https[:]//nginx[.]org 來測試網路連線。連接成功後，它會從遠端伺服器下載第二階段配置。

獲得第二階段配置後，惡意軟體會搜尋 PNG 標頭位元組和魔術值，使用 XOR 解密並使用 RtlDecompressBuffer API 進行解壓縮。隨後，它會載入配置中指定的合法 Windows DLL，將 shellcode 寫入其 .text 部分以供執行。該惡意軟體利用 Heaven's Gate 繞過使用者模式掛鉤，將額外的 shellcode 注入 cmd.exe。然後，第三階段 shellcode 使用進程空洞將最終有效負載（例如 Cobalt Strike 信標）注入到 logagent.exe 中。

HijackLoader 採用各種規避策略，包括 Heaven's Gate 鉤子繞過和取消安全工具監控的 DLL。此外，它利用過程中空變化和交易空心進行注入，這使其成為檢測的巨大挑戰。