HijackLoader 已成為一種新的惡意軟件加載程序,近幾個月來越來越受歡迎。其模塊化架構使其有別於其他惡意軟件加載程序,使其能夠利用各種模塊進行代碼注入和執行。此功能使其成為加載各種惡意軟件系列的首選,包括 Danabot、SystemBC 和RedLine Stealer。
其日益流行表明威脅行為者可能會越來越多地採用它,有可能填補Emotet 和 Qakbot。一如既往,對此類威脅保持警惕並及時更新對於維護網絡安全至關重要。
技術見解和主要發現
Zscaler 的 ThreatLabz 於 2023 年 7 月首次觀察到 HijackLoader。該加載程序在刪除多個惡意軟件系列方面發揮了重要作用,放大了其潛在威脅。其顯著特徵之一是使用系統調用來躲避安全解決方案的監控。它還可以根據嵌入的阻止列表檢測特定進程,並可以延遲不同階段的代碼執行。
HijackLoader 的嵌入式模塊提供靈活的代碼注入和執行,這是一項不具備的功能常見於傳統裝載機。該惡意軟件的模塊化設計使其具有多功能性,能夠適應各種任務並更有效地逃避檢測。
HijackLoader 的工作原理
執行後,HijackLoader 會通過以下方式啟動:確定最終的有效負載是否嵌入在二進製文件中或者是否需要從外部服務器下載。它包括一個加密配置,用於存儲各種信息,例如用於動態加載的Windows API 哈希值和多個Windows API 函數的參數。
該惡意軟件採用了多種反分析技術,包括使用動態加載Windows API 函數自定義 API 哈希技術。它還對合法網站(如 Mozilla)執行 HTTP 連接測試,並根據特定進程的存在在不同階段延遲代碼執行。
HijackLoader 的模塊有助於最終的代碼注入和執行過程。有效負載。這些模塊已被 ThreatLabz 識別,每個模塊都有特定的功能。例如,AVDATA 模塊包含安全產品進程名稱的阻止列表,而 ESLDR 模塊則協助主儀器 shellcode 的代碼注入。
