《电子技术应用》
您所在的位置:首页 > 其他 > 业界动态 > 安全公司Zscaler披露恶意载入 HijackLoader

安全公司Zscaler披露恶意载入 HijackLoader

采用模块化设计逃避检测
2024-05-11
来源:IT之家

5 月 10 日消息,安全公司 Zscaler 近日发布报告,披露了一款采用“模块化设计”的恶意载入器 HijackLoader,这款载入器可以加装各种模块以进行脚本注入、远程命令执行等操作,同时还能够根据用户设备端情况“智能”逃避检测。

Untitled.png

据悉,相关载入器能够绕过 UAC 措施将黑客恶意软件加入到微软 Defender 白名单中,还支持进程空洞(Process Hollowing)、管道触发激活、进程分身等策略,同时还拥有额外的脱钩技术。

安全公司披露了一个复杂的 HijackLoader 样本,该样本以 Streaming_client.exe 启动,利用“混淆配置”逃避防火墙静态分析,之后使用 WinHTTP API 通过访问 https [:]//nginx [.] org 来测试互联网连接,并通过远程服务器下载第二阶段攻击所需配置。

在成功下载第二阶段配置后,相关样本便会搜索 PNG 标头字节,并使用 XOR 进行解密,同时使用 RtlDecompressBuffer API 进行解压缩。随后加载配置中指定的“合法”Windows DLL,将 shellcode 写入其 .text 部分以供其执行(将恶意代码嵌入到合法进程中)。

此后,该恶意软件利用被称为“Heaven's Gate”的挂钩方案将额外的 shellcode 注入 cmd.exe,之后 使用进程空洞将最终有效负载(例如 Cobalt Strike 信标)注入到 logagent.exe 中。

研究人员同时发现,黑客主要利用 HijackLoader 散布名为 Amadey 的恶意软件,以及勒索软件 Lumma,用于随机加密受害者设备上的重要文件,并借机向受害者勒索数字货币。


Magazine.Subscription.jpg

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。