HijackLoader

Le déploiement de HijackLoader par les acteurs malveillants est devenu de plus en plus répandu en raison de son efficacité à injecter du code malveillant dans des processus légitimes, facilitant ainsi l'exécution discrète de charges utiles. Cette technique leur permet d'éviter d'être détectés en utilisant des applications fiables pour des activités dangereuses, créant ainsi un environnement plus difficile pour les mesures de sécurité permettant d'identifier et de contrer efficacement la menace. Les observations des chercheurs révèlent des cas de HijackLoader (également connu sous le nom d'IDAT Loader) employant des techniques sophistiquées pour échapper à la détection.

HijackLoader présente des capacités de menace évoluées

Les chercheurs ont identifié l'évolution de HijackLoader, incorporant de nouvelles techniques d'évasion de défense telles que le creusement de processus, l'activation déclenchée par des tuyaux et une combinaison de processus de doppelgating. Ces améliorations renforcent sa furtivité et sa complexité, rendant l'analyse plus difficile. De plus, le malware utilise des techniques de décrochage supplémentaires, contribuant ainsi à ses capacités d'évasion.

Le HijackLoader sophistiqué lance ses opérations via streaming_client.exe, qui obscurcit une configuration pour contrecarrer l'analyse statique. Utilisant les API WinHTTP, il teste la connectivité Internet en contactant https://nginx.org. Une fois la connexion réussie, il récupère une configuration de deuxième étape à partir d'un serveur distant.

Une fois équipé de la configuration de deuxième étape, le malware recherche les octets d'en-tête PNG et une valeur magique spécifique. Ensuite, il déchiffre les informations à l'aide de XOR et les décompresse via l'API RtlDecompressBuffer. L'étape suivante consiste à charger une DLL Windows légitime spécifiée dans la configuration, en écrivant le shellcode dans sa section .text pour l'exécution. Il utilise Heaven's Gate pour contourner les hooks du mode utilisateur et injecte des shellcodes supplémentaires dans cmd.exe. Le shellcode de troisième étape injecte une charge utile finale, comme une balise Cobalt Strike , dans logagent.exe en utilisant le creusement de processus.

HijackLoader utilise diverses stratégies d'évasion, notamment le contournement du crochet Heaven's Gate et le décrochage des DLL surveillées par des outils de sécurité. Il utilise des variations de processus d'évidement et des évidements transactionnels pour l'injection, combinant la section transactionnée et le doppelgänging de processus avec l'évidement DLL pour échapper davantage à la détection.

HijackLoader est équipé de plusieurs techniques anti-détection

Les principales techniques d'évasion utilisées par HijackLoader et Shellcode incluent :

• Contournement du crochet :
• La porte du Paradis
• Décrochage
• Variation du processus de creusement

L'utilisation de HijackLoader souligne l'importance cruciale de mesures de cybersécurité proactives pour identifier et prévenir de telles attaques subreptices.

Les organisations doivent mettre l’accent sur les audits de sécurité de routine, mettre en œuvre une protection robuste des points finaux et rester informées des menaces émergentes pour se défendre efficacement contre les tactiques évolutives employées par des acteurs mal intentionnés.

Outre ces mesures, l’éducation et la sensibilisation des utilisateurs jouent un rôle crucial dans l’atténuation des risques associés à ces vecteurs d’attaque sophistiqués.