采用模塊化設(shè)計(jì)逃避檢測(cè)，安全公司披露惡意載入器 HijackLoader

IT之家 5 月 10 日消息，安全公司 Zscaler 近日發(fā)布報(bào)告，披露了一款采用“模塊化設(shè)計(jì)”的惡意載入器 HijackLoader，這款載入器可以加裝各種模塊以進(jìn)行腳本注入、遠(yuǎn)程命令執(zhí)行等操作，同時(shí)還能夠根據(jù)用戶(hù)設(shè)備端情況“智能”逃避檢測(cè)。

據(jù)悉，相關(guān)載入器能夠繞過(guò) UAC 措施將黑客惡意軟件加入到微軟 Defender 白名單中，還支持進(jìn)程空洞（Process Hollowing）、管道觸發(fā)激活、進(jìn)程分身等策略，同時(shí)還擁有額外的脫鉤技術(shù)。

IT之家注意到，安全公司披露了一個(gè)復(fù)雜的 HijackLoader 樣本，該樣本以 Streaming_client.exe 啟動(dòng)，利用“混淆配置”逃避防火墻靜態(tài)分析，之后使用 WinHTTP API 通過(guò)訪問(wèn) https [:]//nginx [.] org 來(lái)測(cè)試互聯(lián)網(wǎng)連接，并通過(guò)遠(yuǎn)程服務(wù)器下載第二階段攻擊所需配置。

在成功下載第二階段配置后，相關(guān)樣本便會(huì)搜索 PNG 標(biāo)頭字節(jié)，并使用 XOR 進(jìn)行解密，同時(shí)使用 RtlDecompressBuffer API 進(jìn)行解壓縮。隨后加載配置中指定的“合法”Windows DLL，將 shellcode 寫(xiě)入其 .text 部分以供其執(zhí)行（將惡意代碼嵌入到合法進(jìn)程中）。

此后，該惡意軟件利用被稱(chēng)為“Heaven's Gate”的掛鉤方案將額外的 shellcode 注入 cmd.exe，之后 使用進(jìn)程空洞將最終有效負(fù)載（例如 Cobalt Strike 信標(biāo)）注入到 logagent.exe 中。

研究人員同時(shí)發(fā)現(xiàn)，黑客主要利用 HijackLoader 散布名為 Amadey 的惡意軟件，以及勒索軟件 Lumma，用于隨機(jī)加密受害者設(shè)備上的重要文件，并借機(jī)向受害者勒索數(shù)字貨幣。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。