HijackLoader indiricisi, tehdit aktörleri arasında giderek daha popüler hale geliyor; bu nedenle ThreatLabZ ekibindeki analistler, Temmuz 2023'ten bu yana ortaya çıkan bu kötü amaçlı yazılımı artık daha ayrıntılı olarak inceledi.
Modüler mimarisi nedeniyle yükleyici, kod enjeksiyonu ve yürütülmesi için çeşitli modülleri kullanabilir. Zscaler telemetri verilerine dayanan HijackLoader, Danabot, SystemBC ve RedLine Stealer gibi çeşitli kötü amaçlı yazılım ailelerini yüklemek için kullanılabildiğinden yüksek bir tehdit potansiyeli oluşturuyor. Kod enjeksiyonu için esneklik sağlayan ve geleneksel yükleyicilerin yaklaşımından sapan gömülü modüller kullanır.
Tespit Edilmeye Karşı Kaçınma Teknikleri
Yükleyici, değiştirilmiş bir Windows C Çalışma Zamanı (CRT) işlevini yürütmeye başlar. Başlatma aşamasında yükleyici, son yükün ikili dosyaya gömülü olup olmadığına veya onu harici bir sunucudan indirmesinin gerekip gerekmediğine karar verir. Bunu başarmak için şifrelenmiş bir yapılandırma içerir. Ek olarak, tespit edilmekten kaçınmak için bir takım kaçınma teknikleri kullanılır. Bu tekniklerin örnekleri arasında, özel bir API karma tekniğinden yararlanılarak Windows API işlevlerinin dinamik olarak yüklenmesi veya meşru bir web sitesine (örn. mozilla.org) karşı bir HTTP bağlantı testi gerçekleştirilmesi yer alır.
Bağlantı kurulamazsa HijackLoader çalışmaya devam etmeyecek ve bağlantı kurulana kadar sonsuz bir döngüye girecektir. Ayrıca ilk aşamada güvenlik çözümlerinin çalışan bir takım süreçlerinin varlığı kontrol edilir. Hangi işlemlerin bulunduğuna bağlı olarak yükleyici farklı gecikme işlevlerini gerçekleştirir.
HijackLoader mevcut güvenlik paketlerini kontrol eder
HijackLoader, ikinci aşama yükünü (yani ti modülünü) artımlı olarak yerelleştirir. Bunu yapmak için başlatma aşamasında aldığı şifresi çözülmüş konfigürasyon bloğunu analiz eder. Daha sonra HijackLoader şifrelenmiş yük URL'sini bulur ve bit düzeyinde bir XOR işlemi kullanarak şifresini çözer. Daha sonra yükü indirir ve verilerde imzanın (yapılandırma bloğunda bulunan) varlığını kontrol eder.
Doğrulama başarılı olursa yük diske yazılır. Artık yükleyici ikinci işaretçiyi kullanarak şifrelenmiş blobları arar. Her işaretçi, blobun boyutuyla birlikte (her oluşumdan önce depolanan) şifrelenmiş bir blobun başlangıcını temsil eder. Ayrıca XOR anahtarı, ilk şifrelenmiş blobun uzaklığının arkasındadır. Tüm şifrelenmiş bloblar çıkarıldıktan sonra birbirine zincirlenir ve XOR anahtarı kullanılarak şifreleri çözülür. Son olarak, şifresi çözülen verinin sıkıştırması LZNT1 algoritması kullanılarak açılır.
Şifre çözme işleminden sonra takviye gelir
Daha sonra çeşitli modüller indirilir. Son olarak, anahtarın ilk 200 bayttan türetildiği bit düzeyinde XOR işlemi kullanılarak gömülü verinin şifresi çözülür. HijackLoader'ın kabuk kodu daha sonra şifresi çözülmüş veriyi enjekte etmeye veya doğrudan yürütmeye devam eder. Kabuk kodunun hangi tekniği kullandığı aşağıdakiler gibi çeşitli faktörlere bağlıdır: B. yükün dosya türü ve ayarlarda saklanan ve kullanılacak enjeksiyon yöntemini belirten bir "bayrak".
Özetle HijackLoader, kötü amaçlı yükler için çeşitli yükleme seçenekleri sunan, kaçınma tekniklerine sahip modüler bir yükleyicidir. Kodun kalitesi düşük olsa bile Zscaler'deki güvenlik araştırmacıları, artan popülaritesi nedeniyle yeni yükleyiciye karşı uyarıyor. Özellikle Emotet ve Qakbot'un bıraktığı boşluğu doldurmak için kodun iyileştirilmesini ve daha fazla tehdit aktörü tarafından kullanılmaya devam edilmesini bekliyorlar. Zscaler Cloud Sandbox, HijackLoader'ı çeşitli göstergelere göre algılar ve etkinlikleri engeller. Teknik analizin tamamı ThreatLabZ blogunda okunabilir.
Daha fazlası Zscaler.com'da
Zscaler Hakkında Zscaler, müşterilerin daha çevik, verimli, esnek ve güvenli olabilmesi için dijital dönüşümü hızlandırır. Zscaler Zero Trust Exchange, insanları, cihazları ve uygulamaları her yerde güvenli bir şekilde bağlayarak binlerce müşteriyi siber saldırılardan ve veri kaybından korur. SSE tabanlı Zero Trust Exchange, dünya çapında 150'den fazla veri merkezine dağıtılan dünyanın en büyük hat içi bulut güvenlik platformudur.