Завантажувач HijackLoader стає все більш популярним серед загрозливих акторів, тому аналітики з команди ThreatLabZ детальніше дослідили цю шкідливу програму, яка з’являється з липня 2023 року.
Завдяки своїй модульній архітектурі завантажувач може використовувати різноманітні модулі для впровадження та виконання коду. На основі даних телеметрії Zscaler, HijackLoader представляє високий потенціал загрози, оскільки його можна використовувати для завантаження різних сімей шкідливих програм, таких як Danabot, SystemBC і RedLine Stealer. Він використовує вбудовані модулі для впровадження коду, які забезпечують гнучкість і відрізняються від підходу традиційних завантажувачів.
Методи ухилення від виявлення
Завантажувач починає виконувати модифіковану функцію Windows C Runtime (CRT). Під час фази ініціалізації завантажувач визначає, чи остаточне корисне навантаження вбудовано в двійковий файл, чи його потрібно завантажити із зовнішнього сервера. Для цього він містить зашифровану конфігурацію. Крім того, використовується ряд методів ухилення, щоб уникнути виявлення. Приклади цих методів включають динамічне завантаження функцій Windows API за допомогою спеціального методу хешування API або виконання тесту HTTP-з’єднання на законному веб-сайті (наприклад, mozilla.org).
Якщо з’єднання не вдається встановити, HijackLoader не продовжить виконання й увійде в нескінченний цикл, доки не буде встановлено з’єднання. Також на першому етапі перевіряється наявність ряду запущених процесів захисних рішень. Залежно від того, які процеси знайдені, завантажувач виконує різні функції затримки.
HijackLoader перевіряє наявні пакети безпеки
HijackLoader поступово локалізує корисне навантаження другого етапу (тобто модуль ti). Для цього він аналізує розшифрований блок конфігурації, отриманий на етапі ініціалізації. Потім HijackLoader знаходить зашифровану URL-адресу корисного навантаження та розшифровує її за допомогою побітової операції XOR. Потім він завантажує корисне навантаження та перевіряє наявність підпису (що міститься в блоці конфігурації) у даних.
Якщо перевірка пройшла успішно, корисне навантаження записується на диск. Тепер завантажувач шукає зашифровані блоби за допомогою другого маркера. Кожен маркер представляє початок зашифрованого блоку разом із розміром блоку (який зберігається перед кожним входженням). Крім того, ключ XOR знаходиться за зміщенням першого зашифрованого блоку. Після того, як усі зашифровані блоки видобуто, вони з’єднуються разом і розшифровуються за допомогою ключа XOR. Нарешті, розшифроване корисне навантаження розпаковується за допомогою алгоритму LZNT1.
Після розшифровки йде підкріплення
Потім завантажуються різні модулі. Нарешті, вбудоване корисне навантаження розшифровується за допомогою побітової операції XOR, де ключ виводиться з перших 200 байтів. Потім шелл-код HijackLoader переходить до введення або безпосереднього виконання розшифрованого корисного навантаження. Техніка, яку використовує шелл-код, залежить від різних факторів, таких як: B. тип файлу корисного навантаження та «прапор», що зберігається в налаштуваннях, який вказує на використання методу ін’єкції.
Підсумовуючи, HijackLoader — це модульний завантажувач із методами ухилення, який пропонує різноманітні варіанти завантаження шкідливих корисних навантажень. Навіть якщо якість коду низька, дослідники безпеки в Zscaler застерігають від нового завантажувача, враховуючи його зростаючу популярність. Вони очікують покращення коду та подальшого використання більшою кількістю загрозливих учасників, зокрема для заповнення прогалини, залишеної Emotet і Qakbot. Zscaler Cloud Sandbox виявляє HijackLoader на основі різноманітних індикаторів і блокує дії. Повний технічний аналіз можна прочитати в блозі ThreatLabZ.
Більше на Zscaler.com
Про Zscaler Zscaler прискорює цифрову трансформацію, щоб клієнти могли стати більш гнучкими, ефективними, стійкими та безпечними. Zscaler Zero Trust Exchange захищає тисячі клієнтів від кібератак і втрати даних, безпечно підключаючи людей, пристрої та програми будь-де. Zero Trust Exchange на базі SSE є найбільшою у світі вбудованою хмарною платформою безпеки, розподіленою в понад 150 центрах обробки даних по всьому світу.