5 月 10 日消息,,安全公司 Zscaler 近日發(fā)布報(bào)告,,披露了一款采用“模塊化設(shè)計(jì)”的惡意載入器 HijackLoader,,這款載入器可以加裝各種模塊以進(jìn)行腳本注入、遠(yuǎn)程命令執(zhí)行等操作,,同時(shí)還能夠根據(jù)用戶(hù)設(shè)備端情況“智能”逃避檢測(cè)。
據(jù)悉,,相關(guān)載入器能夠繞過(guò) UAC 措施將黑客惡意軟件加入到微軟 Defender 白名單中,,還支持進(jìn)程空洞(Process Hollowing)、管道觸發(fā)激活,、進(jìn)程分身等策略,,同時(shí)還擁有額外的脫鉤技術(shù)。
安全公司披露了一個(gè)復(fù)雜的 HijackLoader 樣本,,該樣本以 Streaming_client.exe 啟動(dòng),,利用“混淆配置”逃避防火墻靜態(tài)分析,之后使用 WinHTTP API 通過(guò)訪問(wèn) https [:]//nginx [.] org 來(lái)測(cè)試互聯(lián)網(wǎng)連接,并通過(guò)遠(yuǎn)程服務(wù)器下載第二階段攻擊所需配置,。
在成功下載第二階段配置后,,相關(guān)樣本便會(huì)搜索 PNG 標(biāo)頭字節(jié),并使用 XOR 進(jìn)行解密,,同時(shí)使用 RtlDecompressBuffer API 進(jìn)行解壓縮,。隨后加載配置中指定的“合法”Windows DLL,將 shellcode 寫(xiě)入其 .text 部分以供其執(zhí)行(將惡意代碼嵌入到合法進(jìn)程中),。
此后,,該惡意軟件利用被稱(chēng)為“Heaven's Gate”的掛鉤方案將額外的 shellcode 注入 cmd.exe,之后 使用進(jìn)程空洞將最終有效負(fù)載(例如 Cobalt Strike 信標(biāo))注入到 logagent.exe 中,。
研究人員同時(shí)發(fā)現(xiàn),,黑客主要利用 HijackLoader 散布名為 Amadey 的惡意軟件,以及勒索軟件 Lumma,,用于隨機(jī)加密受害者設(shè)備上的重要文件,,并借機(jī)向受害者勒索數(shù)字貨幣。