Tehdit aktörleri HijackLoader’ı meşru süreçlere kötü amaçlı kod enjekte eden ve yüklerin gizlice yürütülmesine olanak tanıyan güçlü bir araç olduğu için istismar ediyor.
Bu teknik, kötü amaçlı faaliyetler gerçekleştirmek için güvenilir uygulamalardan yararlanarak tespit edilmekten kaçınmalarına yardımcı olur.
Bu senaryo, güvenlik önlemlerinin tehdidi etkili bir şekilde tanımlamasını ve azaltmasını daha karmaşık hale getirir.
Crowdsrtike’daki siber güvenlik araştırmacıları yakın zamanda tespit edilmekten kaçınmak için karmaşık teknikler kullanan bir HijackLoader’ı (diğer adıyla IDAT Loader) keşfetti.
Gelişmiş HijackLoader Kötü Amaçlı Yazılımı
CrowdStrike araştırmacıları, HijackLoader’ın süreç boşaltma, boru tetiklemeli aktivasyon ve süreç eşlemesinin bir karışımı gibi yeni savunmadan kaçınma hileleriyle geliştiğini buldu.
Bu geliştirmeler onu daha gizli hale getiriyor ve analiz edilmesini zorlaştırıyor, ayrıca ekstra kancayı açma teknikleri de tespit edildi.
CrowdStrike, statik analizden kaçınmak için yapılandırmayı gizleyen,stream_client.exe ile başlayan gelişmiş bir HijackLoader örneğini ortaya çıkardı.
WinHTTP API’lerini kullanarak https ile iletişime geçerek internet bağlantısını test eder.[:]//nginx[.]org. Başarılı olursa uzak sunucudan ikinci aşama yapılandırmayı indirir.
Kötü amaçlı yazılım, ikinci aşama yapılandırmayı aldıktan sonra PNG başlık baytlarını ve sihirli bir değeri arar. Daha sonra XOR kullanarak şifreyi çözer ve RtlDecompressBuffer API’sini kullanarak sıkıştırmayı açar.
Daha sonra, yapılandırmada belirtilen okunaklı bir Windows DLL dosyasını yükler ve yürütülmek üzere kabuk kodunu .text bölümüne yazar. Kullanıcı modu kancalarından kaçınmak için Heaven’s Gate’i kullanır ve cmd.exe’ye daha fazla kabuk kodu enjekte eder.
Üçüncü aşama kabuk kodu, işlem boşluğunu kullanarak logagent.exe’ye Cobalt Strike işaretçisi gibi son bir veriyi enjekte eder.
HijackLoader, Heaven’s Gate kancasını atlayarak ve güvenlik araçları tarafından izlenen DLL’lerin kancasını kaldırarak tespit edilmekten kaçınır. Aynı zamanda enjeksiyon için işlemli oyuk açma varyasyonlarını ve işlemli oyuk açmayı kullanır.
Bu, işlem yapılan bölümü ve süreç doppelgäng’ini DLL oymayla birleştirir.
Ana Kaçınma Teknikleri
Aşağıda HijackLoader ve Shellcode’un kullandığı tüm ana kaçınma tekniklerinden bahsettik: –
- Kanca Baypas: Cennetin Kapısı ve Kancanın Açılması
- Proses Boşaltma Değişimi
- Etkileşimli Süreç İçi Boşaltma Varyasyonu: Ticari Sanat Analizi
- İşlem Görmüş Hollowing² (İşlem Görmüş Bölüm/Doppelgänger + Hollowing)
- İşlem Görmüş Bölüm Boşaltma
- Proses Boşaltma
HijackLoader’ın kötüye kullanılması, bu tür gizli saldırıları tespit etmek ve önlemek için proaktif siber güvenlik önlemlerinin önemini vurgulamaktadır.
Kuruluşlar, tehdit aktörleri tarafından kullanılan gelişen taktiklere karşı etkili bir şekilde savunma sağlamak için düzenli güvenlik denetimlerine öncelik vermeli, güçlü uç nokta koruması uygulamalı ve ortaya çıkan tehditler hakkında güncel bilgilere sahip olmalıdır.
Bunun yanı sıra, bu karmaşık saldırı vektörleriyle ilişkili risklerin azaltılmasında kullanıcı eğitimi ve farkındalık eğitimleri de önemlidir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.