Az új HijackLoader verzió fejlett fenyegetéskijátszást használ
A fenyegetés szereplői kihasználják a HijackLoader hatékonyságát, amely robusztus eszköz a rosszindulatú kódok legitim folyamatokba való beágyazására, megkönnyítve a hasznos terhek diszkrét végrehajtását. Ez a módszer lehetővé teszi számukra, hogy megkerüljék az észlelést megbízható alkalmazások használatával káros műveletek végrehajtására. Ez az összetettség kihívást jelent a biztonsági intézkedések számára a fenyegetés hatékony felismerése és ellensúlyozása érdekében.
Nemrég a CrowdStrike kiberbiztonsági kutatói felfedezték a HijackLoader (más néven IDAT Loader) egy olyan változatát, amely fejlett technikákat alkalmaz az észlelés elkerülésére. A CrowdStrike kutatói azonosították a HijackLoader evolúcióját, amely olyan új védelmi kijátszási stratégiákat foglal magában, mint például a folyamatürítés, a cső által kiváltott aktiválás és a folyamatok összekapcsolása. Ezek a finomítások fokozzák a lopakodó képességet, és ellenállóbbá teszik az elemzésekkel szemben, további leakasztási technikák felfedezésével együtt.
A HijackLoader elkerüli az észlelést
Egy kifinomult HijackLoader-mintát mutatott be a CrowdStrike, a streaming_client.exe fájllal kezdeményezve. Ez a minta elhomályosítja a konfigurációt, hogy elkerülje a statikus elemzést, és WinHTTP API-k használatával teszteli az internetkapcsolatot a https[:]//nginx[.]org címen. Sikeres csatlakozás esetén letölti a második szakasz konfigurációját egy távoli szerverről.
A második szakasz konfigurációjának beszerzésekor a rosszindulatú program PNG fejlécbájtokat és mágikus értéket keres, XOR használatával dekódolja, és az RtlDecompressBuffer API-val kicsomagolja. Ezt követően betölt egy, a konfigurációban megadott legitim Windows DLL-t, és a shellkódot a .text szakaszába írja végrehajtáshoz. A Heaven's Gate segítségével a felhasználói módú hoook megkerülésére a rosszindulatú program további shellkódokat szúr be a cmd.exe fájlba. A harmadik szakasz shellkódja ezután egy végső hasznos adatot, például egy Cobalt Strike jeladót fecskendez be a logagent.exe-be a folyamatürítéssel.
A HijackLoader különféle kijátszási taktikákat alkalmaz, beleértve a Heaven's Gate hook bypass-át és a biztonsági eszközök által felügyelt DLL-ek leválasztását. Ezen túlmenően a folyamat üreges változatait és a tranzaktált üreges injektálást alkalmazza, ami óriási kihívást jelent az észlelés során.