Malware HijackLoader nutzt zum Angriff Umgehungstechniken

B2B Cyber Security ShortNews

Beitrag teilen

Der Downloader HijackLoader erfährt zunehmende Popularität in den Kreisen von Bedrohungsakteuren, weshalb die Analysten des ThreatLabZ-Teams diese seit Juli 2023 auftretende Malware nun genauer untersucht haben.

Aufgrund seiner modularen Architektur ist der Loader in der Lage, eine Vielzahl von Modulen für die Code-Injektion und -Ausführung zu verwenden. Auf der Grundlage von Zscaler Telemetriedaten lässt sich darauf schließen, dass von HijackLoader ein großes Gefährdungspotenzial ausgeht, da er zum Laden verschiedener Malware-Familien wie Danabot, SystemBC und RedLine Stealer verwendet werden kann. Er nutzt für die Code-Injektion eingebettete Module, die Flexibilität ermöglichen und vom Vorgehen traditioneller Loader abweichen.

Anzeige

Umgehungstechniken gegen die Entdeckung

Der Loader beginnt mit der Ausführung einer modifizierten Funktion der Windows C Runtime (CRT). Während seiner Initialisierungsphase stellt der Loader fest, ob die endgültige Payload in die Binärdatei eingebettet ist oder ob er sie von einem externen Server herunterladen muss. Um dies zu erreichen, enthält er eine verschlüsselte Konfiguration. Darüber hinaus wird eine Reihe von Umgehungstechniken verwendet, um der Entdeckung zu entgehen. Zu diesen Techniken gehören beispielsweise das dynamische Laden von Windows-API-Funktionen durch Ausnutzung einer benutzerdefinierten API-Hashing-Technik oder die Durchführung eines HTTP-Verbindungstests mit einer legitimen Website (z. B. mozilla.org).

Wenn keine Verbindung hergestellt werden kann, fährt HijackLoader nicht mit der Ausführung fort und begibt sich in eine Endlosschleife, bis eine Verbindung hergestellt wird. Außerdem wird in der ersten Stufe das Vorhandensein einer Reihe von laufenden Prozessen von Sicherheitslösungen überprüft. Je nachdem, welche Prozesse gefunden werden, führt der Loader unterschiedliche Verzögerungsfunktionen durch.

HijackLoader prüft auf vorhandene Sicherheitspakete

HijackLoader lokalisiert die Payload der zweiten Stufe (d. h. das ti-Modul) schrittweise. Dazu analysiert er den entschlüsselten Konfigurationsblock, den er in der Initialisierungsphase erhalten hat. Dann sucht HijackLoader die verschlüsselte Payload-URL und entschlüsselt sie mit einer bitwise XOR-Operation. Anschließend lädt er die Payload herunter und prüft sie auf das Vorhandensein der (im Konfigurationsblock enthaltenen) Signatur in den Daten.

Wenn die Validierung erfolgreich ist, wird die Payload auf die Festplatte geschrieben. Nun sucht der Loader anhand des zweiten Markers nach verschlüsselten Blobs. Jeder Marker steht für den Beginn eines verschlüsselten Blobs zusammen mit der Größe des Blobs (die vor jedem Auftreten gespeichert wird). Außerdem befindet sich der XOR-Schlüssel hinter dem Offset des ersten verschlüsselten Blobs. Sobald alle verschlüsselten Blobs extrahiert worden sind, werden sie miteinander verkettet und mit dem XOR-Schlüssel entschlüsselt. Schließlich wird die entschlüsselte Payload mit dem LZNT1-Algorithmus dekomprimiert.

Nach der Entschlüsselung kommt die Verstärkung

Danach werden verschiedenste Module heruntergeladen. Am Ende wird die eingebettete Payload mit einer bitwise XOR-Operation entschlüsselt, wobei der Schlüssel aus den ersten 200 Bytes abgeleitet wird. Der Shellcode von HijackLoader fährt dann mit der Injektion oder direkten Ausführung der entschlüsselten Nutzdaten fort. Welche Technik der Shellcode verwendet, hängt von verschiedenen Faktoren ab, z. B. vom Dateityp der Payload und einem „Flag“, der in den Einstellungen gespeichert ist und die zu verwendende Injektionsmethode angibt.

Zusammenfassend lässt sich sagen, dass HijackLoader ein modularer Loader mit Umgehungstechniken ist, der eine Vielzahl von Ladeoptionen für bösartige Payloads bietet. Auch wenn die Qualität des Codes schlecht ist, warnen die Sicherheitsforscher von Zscaler angesichts der zunehmenden Beliebtheit vor dem neuen Loader. Sie erwarten Code-Verbesserungen und eine weitere Nutzung durch mehr Bedrohungsakteure, insbesondere um die von Emotet und Qakbot hinterlassene Lücke zu füllen. Die Zscaler Cloud Sandbox erkennt HijackLoader anhand unterschiedlichster Indikatoren und blockiert die Aktivitäten. Die vollständige technische Analyse ist im ThreatLabZ-Blog nachzulesen.

Mehr bei Zscaler.com

 


Über Zscaler

Zscaler beschleunigt die digitale Transformation, damit Kunden agiler, effizienter, widerstandsfähiger und sicherer werden können. Zscaler Zero Trust Exchange schützt Tausende von Kunden vor Cyberangriffen und Datenverlusten, indem es Nutzer, Geräte und Anwendungen an jedem Standort sicher verbindet. Die SSE-basierte Zero Trust Exchange ist die weltweit größte Inline-Cloud-Sicherheitsplattform, die über mehr als 150 Rechenzentren auf der ganzen Welt verteilt ist.


 

Passende Artikel zum Thema

Hackerangriff auf Stromanbieter Tibber

Vor wenigen Tagen gab es einen Hackerangriff auf den Stromanbieter Tibber und seinen Verkaufs-Store. Laut Anbieter haben die Hacker zwar ➡ Weiterlesen

Gratis Entschlüsselungs-Tool für Shrinklocker-Ransomware

Für Opfer von Attacken mit der Shrinklocker-Ransomware hat Bitdefender einen kostenlosen Dekryptor entwickelt um verschlüsselte Dateien wiederherstellen können. Das ursprünglich ➡ Weiterlesen

Security Report deckt Missbrauch von Blockchains für Malware auf

Der neue Internet Security Report von WatchGuard deckt unter anderem die Instrumentalisierung von Blockchains als Hosts für schädliche Inhalte auf. ➡ Weiterlesen

Hacker attackieren statistisches Bundesamt Destatis

Das Statistische Bundesamt - Destatis - wurde Opfer eines Hackerangriff. Da es Hinweise auf ein Datenleck gab, wurde das Meldesystem ➡ Weiterlesen

Leitfaden zur KI-Verordnung

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Zwei Drittel der Unternehmen brauchen Hilfe bei der Umsetzung der KI-Verordnung ➡ Weiterlesen

Bring your own KI

In jedem dritten Unternehmen werden private KI-Zugänge genutzt. Auf der anderen Seite hat bisher nur jedes siebte Unternehmen Regeln zum ➡ Weiterlesen

Datensicherheit: Backup-Strategie ist das Rückgrat

Als Folge des fehlerhaften CrowdStrike Updates im Sommer diesen Jahres kam es bei fast jedem zweiten betroffenen Unternehmen in Deutschland ➡ Weiterlesen

Studie: Digitale Mitarbeitererfahrung verbessert die Cybersicherheit

Neun von zehn Führungskräften sind überzeugt, dass ihr Unternehmen gewinnt, wenn sie digitale Mitarbeitererfahung priorisieren, so die Ergebnisse einer Umfrage. ➡ Weiterlesen