Компания CrowdStrike обнаружила, что авторы загрузчика HijackLoader добавили новые методы обхода защиты, поскольку вредоносное ПО продолжает все чаще использоваться другими злоумышленниками для доставки дополнительных полезных нагрузок и инструментов.
Отмечается, что разработчик использовал стандартную технику подмена процесса (Process Hollowing) в сочетании с дополнительным триггером, который активировался при записи родительским процессом в канал. Такой подход может сделать уклонение от защиты более незаметным, пишет Securitylab.
Вторая техника включает в себя необычную комбинацию методов Process Doppelgänging и Process Hollowing. Отправной точкой многоэтапной цепочки атак нового варианта HijackLoader является исполняемый файл («streaming_client.exe»), который проверяет наличие активного подключения к Интернету и приступает к загрузке конфигурации второго этапа с удаленного сервера.
Затем исполняемый файл загружает легитимную DLL-библиотеку, указанную в конфигурации, для активации шелл-кода, ответственного за запуск полезной нагрузки HijackLoader. Действия происходят с помощью комбинации методов Process Doppelgänging и Process Hollowing, что усложняет анализ и повышает возможности HijackLoader по обходу защиты.
Затем шелл-код второго этапа HijackLoader выполняет действия для отключения вебхуков с помощью Heaven's Gate и внедряет последующий шелл-код в cmd.exe. Heaven's Gate — это инструмент, который позволяет вредоносному ПО обходить средства безопасности конечных точек, вызывая 64-битный код в 32-битных процессах Windows, эффективно обходя пользовательские хуки.
Одним из ключевых методов уклонения HijackLoader является механизм внедрения процессов Transacted Hollowing, при котором транзакции файловой системы Windows используются для загрузки и исполнения вредоносного кода в контексте другого процесса
Инвестирование в новые возможности уклонения от защиты для HijackLoader (IDAT Loader) потенциально является попыткой сделать его более скрытным и незаметных для радаров традиционных решений безопасности. Новые методы сигнализируют как о преднамеренном, так и об экспериментальном развитии существующих возможностей уклонения от защиты, а также увеличение сложности анализа для исследователей угроз.