हाईजैकलोडर डाउनलोडर खतरे वाले अभिनेताओं के बीच तेजी से लोकप्रिय हो रहा है, यही वजह है कि थ्रेटलैबज़ टीम के विश्लेषकों ने अब इस मैलवेयर की जांच की है, जो जुलाई 2023 से दिखाई दे रहा है, और अधिक विस्तार से।
अपने मॉड्यूलर आर्किटेक्चर के कारण, लोडर कोड इंजेक्शन और निष्पादन के लिए विभिन्न प्रकार के मॉड्यूल का उपयोग करने में सक्षम है। Zscaler टेलीमेट्री डेटा के आधार पर, HijackLoader एक उच्च खतरे की क्षमता रखता है क्योंकि इसका उपयोग विभिन्न मैलवेयर परिवारों जैसे Danabot, SystemBC और RedLine Stealer को लोड करने के लिए किया जा सकता है। यह कोड इंजेक्शन के लिए एम्बेडेड मॉड्यूल का उपयोग करता है, जो लचीलेपन की अनुमति देता है और पारंपरिक लोडर के दृष्टिकोण से विचलित होता है।
पता लगाने के विरुद्ध चोरी की तकनीकें
लोडर एक संशोधित विंडोज सी रनटाइम (सीआरटी) फ़ंक्शन निष्पादित करना शुरू करता है। अपने आरंभीकरण चरण के दौरान, लोडर यह निर्धारित करता है कि अंतिम पेलोड बाइनरी में एम्बेडेड है या इसे बाहरी सर्वर से डाउनलोड करने की आवश्यकता है या नहीं। इसे प्राप्त करने के लिए, इसमें एक एन्क्रिप्टेड कॉन्फ़िगरेशन शामिल है। इसके अतिरिक्त, पहचान से बचने के लिए कई चोरी की तकनीकों का उपयोग किया जाता है। इन तकनीकों के उदाहरणों में कस्टम एपीआई हैशिंग तकनीक का फायदा उठाकर या किसी वैध वेबसाइट (उदाहरण के लिए mozilla.org) के खिलाफ HTTP कनेक्शन परीक्षण करके विंडोज एपीआई फ़ंक्शंस को गतिशील रूप से लोड करना शामिल है।
यदि कोई कनेक्शन स्थापित नहीं किया जा सकता है, तो HijackLoader निष्पादन जारी नहीं रखेगा और कनेक्शन स्थापित होने तक एक अनंत लूप में प्रवेश करेगा। साथ ही, पहले चरण में, सुरक्षा समाधानों की कई चल रही प्रक्रियाओं के अस्तित्व की जाँच की जाती है। कौन सी प्रक्रियाएं पाई जाती हैं, उसके आधार पर लोडर अलग-अलग विलंब कार्य करता है।
HijackLoader मौजूदा सुरक्षा पैकेजों की जाँच करता है
हाईजैकलोडर दूसरे चरण के पेलोड (यानी टीआई मॉड्यूल) को क्रमिक रूप से स्थानीयकृत करता है। ऐसा करने के लिए, यह डिक्रिप्टेड कॉन्फ़िगरेशन ब्लॉक का विश्लेषण करता है जो इसे आरंभीकरण चरण में प्राप्त हुआ था। फिर HijackLoader एन्क्रिप्टेड पेलोड URL ढूंढता है और बिटवाइज़ XOR ऑपरेशन का उपयोग करके इसे डिक्रिप्ट करता है। इसके बाद यह पेलोड डाउनलोड करता है और डेटा में हस्ताक्षर (कॉन्फ़िगरेशन ब्लॉक में निहित) की उपस्थिति की जांच करता है।
यदि सत्यापन सफल होता है, तो पेलोड डिस्क पर लिखा जाता है। अब लोडर दूसरे मार्कर का उपयोग करके एन्क्रिप्टेड ब्लॉब्स की तलाश करता है। प्रत्येक मार्कर ब्लॉब के आकार (जो प्रत्येक घटना से पहले संग्रहीत होता है) के साथ एक एन्क्रिप्टेड ब्लॉब की शुरुआत का प्रतिनिधित्व करता है। साथ ही, XOR कुंजी पहले एन्क्रिप्टेड ब्लॉब के ऑफसेट के पीछे है। एक बार सभी एन्क्रिप्टेड ब्लॉब्स निकाले जाने के बाद, उन्हें एक साथ जोड़ा जाता है और XOR कुंजी का उपयोग करके डिक्रिप्ट किया जाता है। अंत में, डिक्रिप्टेड पेलोड को LZNT1 एल्गोरिदम का उपयोग करके डीकंप्रेस किया जाता है।
डिक्रिप्शन के बाद सुदृढीकरण आता है
फिर विभिन्न मॉड्यूल डाउनलोड किए जाते हैं। अंत में, एम्बेडेड पेलोड को बिटवाइज एक्सओआर ऑपरेशन का उपयोग करके डिक्रिप्ट किया जाता है, जहां कुंजी पहले 200 बाइट्स से प्राप्त होती है। हाईजैकलोडर का शेलकोड फिर डिक्रिप्टेड पेलोड को इंजेक्ट या सीधे निष्पादित करने के लिए आगे बढ़ता है। शेलकोड किस तकनीक का उपयोग करता है यह विभिन्न कारकों पर निर्भर करता है, जैसे: बी. पेलोड का फ़ाइल प्रकार और सेटिंग्स में संग्रहीत एक "ध्वज" जो उपयोग करने के लिए इंजेक्शन विधि को इंगित करता है।
संक्षेप में, हाईजैकलोडर चोरी की तकनीकों वाला एक मॉड्यूलर लोडर है जो दुर्भावनापूर्ण पेलोड के लिए विभिन्न प्रकार के लोडिंग विकल्प प्रदान करता है। भले ही कोड की गुणवत्ता खराब हो, ज़स्केलर के सुरक्षा शोधकर्ता इसकी बढ़ती लोकप्रियता को देखते हुए नए लोडर के खिलाफ चेतावनी देते हैं। वे कोड में सुधार और अधिक खतरनाक अभिनेताओं द्वारा उपयोग जारी रखने की उम्मीद करते हैं, विशेष रूप से इमोटेट और क्यूकबोट द्वारा छोड़े गए अंतर को भरने के लिए। ज़ेडस्केलर क्लाउड सैंडबॉक्स विभिन्न संकेतकों के आधार पर हाईजैकलोडर का पता लगाता है और गतिविधियों को ब्लॉक करता है। संपूर्ण तकनीकी विश्लेषण ThreatLabZ ब्लॉग पर पढ़ा जा सकता है।
Zscaler.com पर अधिक
ZScaler के बारे में Zscaler डिजिटल परिवर्तन को तेज करता है ताकि ग्राहक अधिक चुस्त, कुशल, लचीला और सुरक्षित बन सकें। Zscaler Zero Trust Exchange कहीं भी लोगों, उपकरणों और एप्लिकेशन को सुरक्षित रूप से कनेक्ट करके हजारों ग्राहकों को साइबर हमले और डेटा हानि से बचाता है। एसएसई-आधारित ज़ीरो ट्रस्ट एक्सचेंज दुनिया का सबसे बड़ा इनलाइन क्लाउड सुरक्षा मंच है, जो दुनिया भर के 150+ डेटा केंद्रों में वितरित किया जाता है।