Новая версия HijackLoader использует расширенное уклонение от угроз
Злоумышленники извлекают выгоду из возможностей HijackLoader как надежного инструмента для внедрения вредоносного кода в законные процессы, облегчая незаметное выполнение полезных данных. Этот метод позволяет им обходить обнаружение, используя доверенные приложения для выполнения вредоносных действий. Эта сложность создает проблемы для мер безопасности по эффективному распознаванию угрозы и противодействию ей.
Недавно исследователи кибербезопасности из CrowdStrike обнаружили версию HijackLoader (также известную как IDAT Loader), в которой используются передовые методы, позволяющие избежать обнаружения. Исследователи CrowdStrike определили эволюцию HijackLoader, включающую новые стратегии уклонения от защиты, такие как вытеснение процессов, активация по каналу и комбинация двойных процессов. Эти усовершенствования повышают его скрытность и делают его более устойчивым к анализу, сопровождаясь открытием дополнительных методов отцепления.
HijackLoader уклоняется от обнаружения
CrowdStrike обнаружил сложный образец HijackLoader, начавшийся с потокового_client.exe. В этом примере конфигурация запутывается, чтобы избежать статического анализа, и с помощью WinHTTP API проверяется подключение к Интернету, обращаясь к https[:]//nginx[.]org. При успешном подключении он загружает конфигурацию второго этапа с удаленного сервера.
Получив конфигурацию второго этапа, вредоносная программа ищет байты заголовка PNG и магическое значение, расшифровывает их с помощью XOR и распаковывает с помощью RtlDecompressBuffer API. Впоследствии он загружает легитимную Windows DLL, указанную в конфигурации, записывая шелл-код в ее .text-раздел для выполнения. Используя Heaven's Gate для обхода перехватчиков пользовательского режима, вредоносная программа внедряет дополнительные шеллкоды в cmd.exe. Затем шелл-код третьего этапа вводит окончательную полезную нагрузку, например маяк Cobalt Strike, в logagent.exe с использованием очистки процесса.
HijackLoader использует различные тактики уклонения, в том числе обход перехвата Heaven's Gate и отцепление DLL, контролируемых инструментами безопасности. Кроме того, он использует различные варианты процесса выемки и транзакционную выемку для инъекции, что делает его сложной задачей для обнаружения.