HijackLoader, также известный как IDAT Loader и GHOSTPULSE, представляет собой вредоносный загрузчик, впервые обнаруженный в 2023 году. Он специализируется на предоставлении полезной нагрузки второго уровня и предлагает ряд модулей, расширяющих его операционные возможности. В центре его функций находятся такие аспекты, как обход мер безопасности, внедрение кода и управление конфигурациями.
Новые методы и модули
Согласно последним данным от Zscaler ThreatLabZ, HijackLoader включает недавно разработанные модули с передовыми методами обхода. Наиболее значимые из них:
- ANTIVM: определяет виртуальные машины и аналитические среды
- MUTEX: предотвращает одновременное выполнение нескольких инстанций вредоносного ПО
- CUSTOMINJECT и CUSTOMINJECTPATH: предназначены для настройки инъекций
- modTask и modTask64: управляют запланированными задачами
- Persdata: обеспечивает постоянство, храня данные
- SM: может служить для дополнительных манипуляций
Обновления и изменения
Одним из ключевых обновлений стал первый этап выполнения HijackLoader, в котором был введён список блокировок для имен процессов, включая avastsvc.exe. В случае его обнаружения, загрузчик отложит выполнение на 5 секунд.
Кроме того, произошли изменения в расшифровке модулей: теперь некоторые из них применяют метод, который встраивает зашифрованные данные в пиксельную структуру файла PNG, вместо простого использования заголовков IDAT.
Обработка системных вызовов
HijackLoader продолжает использовать технологию Heaven’s Gate для выполнения прямых системных вызовов x64. Он улучшил свой механизм маскировки, теперь используя подмену стека вызовов. Этот метод скрывает вредоносные вызовы, заменяя законные фреймы стека на сфабрикованные, что затрудняет их обнаружение.
Кроме того, HijackLoader собирает важную информацию, такую как хэши API, номера системных вызовов и имена функций, из ntdll.dll. Это представлено в структурированном формате DIRECTSYSCALL_STRUCT, что упрощает вызовы API как напрямую, так и через комбинацию методов, в зависимости от среды выполнения.
Итоги
Модуль ANTIVM играет особенно важную роль, поскольку включает параметры конфигурации, позволяющие идентифицировать виртуальные машины. Хранение данных в структуре, известной как ANTIVM_STRUCT, позволяет HijackLoader сохранять свою эффективность. Комплексные меры по уничтожению остатков модуля ti перед выполнением подмены стека вызовов подчеркивают эволюцию тактики этого вредоносного ПО. Таким образом, HijackLoader продолжает оказывать значительное влияние на кибербезопасность, и его возможности требуют постоянного мониторинга и адаптации стратегий защиты.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "HijackLoader: Новые угрозы и методы обхода безопасности".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.