《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 其他 > 業(yè)界動(dòng)態(tài) > 安全公司Zscaler披露惡意載入 HijackLoader

安全公司Zscaler披露惡意載入 HijackLoader

采用模塊化設(shè)計(jì)逃避檢測(cè)
2024-05-11
來(lái)源:IT之家
關(guān)鍵詞: Zscaler HijackLoader 惡意載入器

5 月 10 日消息,,安全公司 Zscaler 近日發(fā)布報(bào)告,,披露了一款采用“模塊化設(shè)計(jì)”的惡意載入器 HijackLoader,,這款載入器可以加裝各種模塊以進(jìn)行腳本注入、遠(yuǎn)程命令執(zhí)行等操作,,同時(shí)還能夠根據(jù)用戶(hù)設(shè)備端情況“智能”逃避檢測(cè)。

Untitled.png

據(jù)悉,,相關(guān)載入器能夠繞過(guò) UAC 措施將黑客惡意軟件加入到微軟 Defender 白名單中,,還支持進(jìn)程空洞(Process Hollowing)、管道觸發(fā)激活,、進(jìn)程分身等策略,,同時(shí)還擁有額外的脫鉤技術(shù)。

安全公司披露了一個(gè)復(fù)雜的 HijackLoader 樣本,,該樣本以 Streaming_client.exe 啟動(dòng),,利用“混淆配置”逃避防火墻靜態(tài)分析,之后使用 WinHTTP API 通過(guò)訪問(wèn) https [:]//nginx [.] org 來(lái)測(cè)試互聯(lián)網(wǎng)連接,并通過(guò)遠(yuǎn)程服務(wù)器下載第二階段攻擊所需配置,。

在成功下載第二階段配置后,,相關(guān)樣本便會(huì)搜索 PNG 標(biāo)頭字節(jié),并使用 XOR 進(jìn)行解密,,同時(shí)使用 RtlDecompressBuffer API 進(jìn)行解壓縮,。隨后加載配置中指定的“合法”Windows DLL,將 shellcode 寫(xiě)入其 .text 部分以供其執(zhí)行(將惡意代碼嵌入到合法進(jìn)程中),。

此后,,該惡意軟件利用被稱(chēng)為“Heaven's Gate”的掛鉤方案將額外的 shellcode 注入 cmd.exe,之后 使用進(jìn)程空洞將最終有效負(fù)載(例如 Cobalt Strike 信標(biāo))注入到 logagent.exe 中,。

研究人員同時(shí)發(fā)現(xiàn),,黑客主要利用 HijackLoader 散布名為 Amadey 的惡意軟件,以及勒索軟件 Lumma,,用于隨機(jī)加密受害者設(shè)備上的重要文件,,并借機(jī)向受害者勒索數(shù)字貨幣。


Magazine.Subscription.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話(huà)通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話(huà):010-82306118,;郵箱:[email protected],。