HijackLoader

Der Einsatz von HijackLoader durch Bedrohungsakteure wird aufgrund seiner Wirksamkeit beim Einschleusen von Schadcode in legitime Prozesse und der Erleichterung der diskreten Ausführung von Payloads immer häufiger. Diese Technik ermöglicht es ihnen, eine Entdeckung zu vermeiden, indem sie vertrauenswürdige Anwendungen für unsichere Aktivitäten nutzen, wodurch ein anspruchsvolleres Umfeld für Sicherheitsmaßnahmen geschaffen wird, um die Bedrohung effektiv zu erkennen und zu bekämpfen. Beobachtungen von Forschern zeigen, dass HijackLoader (auch bekannt als IDAT Loader) ausgefeilte Techniken einsetzt, um der Entdeckung zu entgehen.

HijackLoader weist weiterentwickelte Bedrohungsfähigkeiten auf

Forscher haben die Entwicklung von HijackLoader identifiziert, die neue Abwehrtechniken wie Process Hollowing, Pipe-Triggered-Aktivierung und eine Kombination aus Process Doubleganging beinhaltet. Diese Verbesserungen erhöhen die Verborgenheit und Komplexität und machen die Analyse anspruchsvoller. Darüber hinaus verwendet die Malware zusätzliche Unhooking-Techniken, was zu ihren Ausweichfähigkeiten beiträgt.

Der hochentwickelte HijackLoader initiiert seine Vorgänge über „streaming_client.exe“, wodurch eine Konfiguration verschleiert wird, um eine statische Analyse zu verhindern. Unter Verwendung von WinHTTP-APIs testet es die Internetkonnektivität, indem es sich an https://nginx.org wendet. Bei erfolgreicher Verbindung wird eine Konfiguration der zweiten Stufe von einem Remote-Server abgerufen.

Sobald die Malware mit der Konfiguration der zweiten Stufe ausgestattet ist, sucht sie nach PNG-Header-Bytes und einem bestimmten magischen Wert. Anschließend werden die Informationen mithilfe von XOR entschlüsselt und über die RtlDecompressBuffer-API dekomprimiert. Der nächste Schritt besteht darin, eine legitime Windows-DLL zu laden, die in der Konfiguration angegeben ist, und den Shellcode zur Ausführung in den .text-Abschnitt zu schreiben. Es verwendet Heaven's Gate, um Benutzermodus-Hooks zu umgehen und fügt zusätzliche Shellcodes in cmd.exe ein. Der Shellcode der dritten Stufe injiziert mithilfe von Process Hollowing eine letzte Nutzlast, wie einen Cobalt Strike- Beacon, in logagent.exe.

HijackLoader nutzt verschiedene Umgehungsstrategien, darunter die Hook-Umgehung von Heaven's Gate und das Unhooking von DLLs, die von Sicherheitstools überwacht werden. Es nutzt Varianten des Process Hollowing und Transacted Hollowing für die Injektion und kombiniert Transacted Section und Process Doublegänging mit DLL Hollowing, um einer Erkennung noch weiter zu entgehen.

HijackLoader ist mit mehreren Anti-Erkennungstechniken ausgestattet

Zu den primären Umgehungstechniken von HijackLoader und Shellcode gehören:

• Hook-Bypass:
• Himmelstor
• Aushaken
• Prozessaushöhlungsvariante

Der Einsatz von HijackLoader unterstreicht die entscheidende Bedeutung proaktiver Cybersicherheitsmaßnahmen zur Erkennung und Verhinderung solcher Schleichangriffe.

Unternehmen sollten den Schwerpunkt auf routinemäßige Sicherheitsüberprüfungen legen, einen robusten Endpunktschutz implementieren und über neu auftretende Bedrohungen informiert bleiben, um sich wirksam gegen die sich entwickelnden Taktiken schlecht gesinnter Akteure zu verteidigen.

Zusätzlich zu diesen Maßnahmen spielen Benutzeraufklärung und Sensibilisierungsschulung eine entscheidende Rolle bei der Minderung der damit verbundenen Risiken dieser hochentwickelten Angriffsvektoren.