HijackLoader ダウンローダーは、脅威アクターの間でますます人気が高まっているため、ThreatLabZ チームのアナリストは、2023 年 XNUMX 月から出現しているこのマルウェアをさらに詳細に調査しました。
モジュール式アーキテクチャにより、ローダーはコードの挿入と実行にさまざまなモジュールを使用できます。 Zscaler テレメトリ データに基づくと、HijackLoader は Danabot、SystemBC、RedLine Stealer などのさまざまなマルウェア ファミリのロードに使用できるため、高い脅威の可能性をもたらします。 コードインジェクションには組み込みモジュールを使用するため、柔軟性が得られ、従来のローダーのアプローチから逸脱します。
検出に対する回避テクニック
ローダーは、変更された Windows C ランタイム (CRT) 関数の実行を開始します。 ローダーは、初期化フェーズ中に、最終ペイロードがバイナリに埋め込まれているかどうか、または外部サーバーからダウンロードする必要があるかどうかを判断します。 これを実現するために、暗号化された構成が含まれています。 さらに、検出を回避するために多くの回避技術が使用されています。 これらの手法の例には、カスタム API ハッシュ手法を利用した Windows API 関数の動的ロードや、正規の Web サイト (mozilla.org など) に対する HTTP 接続テストの実行などが含まれます。
接続を確立できない場合、HijackLoader は実行を続行せず、接続が確立されるまで無限ループに入ります。 また、最初の段階では、セキュリティ ソリューションの多数の実行プロセスの存在がチェックされます。 見つかったプロセスに応じて、ローダーはさまざまな遅延機能を実行します。
HijackLoader は既存のセキュリティ パッケージをチェックします
HijackLoader は、第 XNUMX 段階のペイロード (つまり、ti モジュール) を段階的にローカライズします。 これを行うために、初期化フェーズで受信した復号化された構成ブロックを分析します。 次に、HijackLoader は暗号化されたペイロード URL を見つけ、ビットごとの XOR 演算を使用して復号化します。 次に、ペイロードをダウンロードし、データ内に署名 (構成ブロックに含まれる) が存在するかどうかを確認します。
検証が成功すると、ペイロードがディスクに書き込まれます。 ここで、ローダーは 1 番目のマーカーを使用して暗号化された BLOB を探します。 各マーカーは、暗号化された BLOB の開始と BLOB のサイズ (各出現前に保存されます) を表します。 また、XOR キーは、最初の暗号化された BLOB のオフセットよりも後ろにあります。 すべての暗号化された BLOB が抽出されると、それらは一緒にチェーンされ、XOR キーを使用して復号化されます。 最後に、復号化されたペイロードは、LZNTXNUMX アルゴリズムを使用して解凍されます。
復号化の後に強化が行われます
その後、さまざまなモジュールがダウンロードされます。 最後に、埋め込まれたペイロードは、ビットごとの XOR 演算を使用して復号化されます。ここで、キーは最初の 200 バイトから導出されます。 HijackLoader のシェルコードは、復号化されたペイロードの挿入または直接実行を開始します。 シェルコードがどの手法を使用するかは、次のようなさまざまな要因によって異なります。 B. ペイロードのファイル タイプと、使用する注入方法を示す設定に保存される「フラグ」。
要約すると、HijackLoader は、悪意のあるペイロードに対してさまざまな読み込みオプションを提供する回避技術を備えたモジュラー ローダーです。 コードの品質が劣っていても、Zscaler のセキュリティ研究者は、人気が高まっていることを考慮して、新しいローダーに対して警告しています。 彼らは、特に Emotet と Qakbot によって残されたギャップを埋めるために、コードが改善され、より多くの脅威アクターによる継続的な使用が期待されています。 Zscaler Cloud Sandbox は、さまざまな指標に基づいて HijackLoader を検出し、アクティビティをブロックします。 完全な技術分析は、ThreatLabZ ブログで読むことができます。
詳細は Zscaler.com をご覧ください
ゼットスケーラーについて Zscaler はデジタル トランスフォーメーションを加速するため、顧客はより機敏で効率的、回復力があり、安全になります。 Zscaler Zero Trust Exchange は、人、デバイス、アプリケーションをどこからでも安全に接続することで、何千もの顧客をサイバー攻撃やデータ損失から保護します。 SSE ベースのゼロ トラスト エクスチェンジは、世界最大のインライン クラウド セキュリティ プラットフォームであり、世界中の 150 以上のデータ センターに分散されています。