HijackLoader обновился: CrowdStrike раскрыла новейшие методы уклонения

CrowdStrike HijackLoader Process Hollowing Process Doppelgänging DLL Heaven's Gate Transacted Hollowing IDAT Loader
HijackLoader обновился: CrowdStrike раскрыла новейшие методы уклонения
CrowdStrike HijackLoader Process Hollowing Process Doppelgänging DLL Heaven's Gate Transacted Hollowing IDAT Loader

Какие механизмы позволяют хакерам быть невидимыми для радаров?

image

Компания CrowdStrike обнаружила, что авторы загрузчика HijackLoader добавили новые методы обхода защиты, поскольку вредоносное ПО продолжает все чаще использоваться другими злоумышленниками для доставки дополнительных полезных нагрузок и инструментов.

Отмечается, что разработчик использовал стандартную технику подмена процесса (Process Hollowing) в сочетании с дополнительным триггером, который активировался при записи родительским процессом в канал. Такой подход может сделать уклонение от защиты более незаметным.

Вторая техника включает в себя необычную комбинацию методов Process Doppelgänging и Process Hollowing. Отправной точкой многоэтапной цепочки атак нового варианта HijackLoader является исполняемый файл («streaming_client.exe»), который проверяет наличие активного подключения к Интернету и приступает к загрузке конфигурации второго этапа с удаленного сервера.

Затем исполняемый файл загружает легитимную DLL-библиотеку, указанную в конфигурации, для активации шелл-кода, ответственного за запуск полезной нагрузки HijackLoader. Действия происходят с помощью комбинации методов Process Doppelgänging и Process Hollowing, что усложняет анализ и повышает возможности HijackLoader по обходу защиты.

Затем шелл-код второго этапа HijackLoader выполняет действия для отключения вебхуков с помощью Heaven's Gate и внедряет последующий шелл-код в cmd.exe. Heaven's Gate — это инструмент, который позволяет вредоносному ПО обходить средства безопасности конечных точек, вызывая 64-битный код в 32-битных процессах Windows, эффективно обходя пользовательские хуки.

Одним из ключевых методов уклонения HijackLoader является механизм внедрения процессов Transacted Hollowing, при котором транзакции файловой системы Windows используются для загрузки и исполнения вредоносного кода в контексте другого процесса

Инвестирование в новые возможности уклонения от защиты для HijackLoader (IDAT Loader) потенциально является попыткой сделать его более скрытным и незаметных для радаров традиционных решений безопасности. Новые методы сигнализируют как о преднамеренном, так и об экспериментальном развитии существующих возможностей уклонения от защиты, а также увеличение сложности анализа для исследователей угроз.

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!

Новости по теме

Byakugan: хакеры-ниндзя атакуют португалоязычные страны

JetBrains и Rapid7 в споре: что важнее, безопасность или прозрачность?

Сисадмины в опасности: PuTTY и FileZilla как начальный вектор компрометации

StopCrypt: вымогатель для простых смертных обзавёлся мантией-невидимкой

0day в CrushFTP: хакерам открыт доступ к системным файлам

Скрытый шпионаж: новый метод позволяет Winnti незаметно собирать данные

DarkBeatC2: иранская MuddyWater расширяет свой хакерский арсенал

IT-профессионалы на мушке: бэкдор MadMxShell прячется в легитимных сетевых инструментах

Kaolin RAT: северокорейские хакеры прячут свой новый троян в вакансиях о работе