HijackLoader

HijackLoader は正規のプロセスに悪意のあるコードを挿入し、ペイロードの慎重な実行を容易にする効果があるため、脅威アクターによる HijackLoader の導入はますます蔓延しています。この技術を使用すると、信頼できるアプリケーションを利用して危険なアクティビティを検出することを回避できるため、脅威を効果的に特定して対抗するためのセキュリティ対策にとってより困難な環境が生まれます。研究者らによる観察により、検出を逃れるために高度な技術を使用している HijackLoader (IDAT Loader としても知られる) のインスタンスが明らかになりました。

HijackLoader は進化した脅威機能を発揮

研究者らは、プロセスの空洞化、パイプトリガーによるアクティベーション、プロセスのドッペルガンジングの組み合わせなどの新しい防御回避技術を組み込んだ HijackLoader の進化を特定しました。これらの機能強化により、そのステルス性と複雑さが強化され、分析がより困難になります。さらに、このマルウェアは追加のフック解除技術を採用しており、その回避能力にさらに貢献しています。

高度な HijackLoader は、streaming_client.exe を通じて操作を開始し、構成を難読化して静的分析を阻止します。 WinHTTP API を利用して、https://nginx.org にアクセスしてインターネット接続をテストします。接続に成功すると、リモート サーバーから第 2 段階の構成が取得されます。

第 2 段階の構成が装備されると、マルウェアは PNG ヘッダー バイトと特定のマジック値をスキャンします。その後、XOR を使用して情報を復号化し、RtlDecompressBuffer API を通じて解凍します。次のステップでは、構成で指定された正規の Windows DLL をロードし、実行するシェルコードをその .text セクションに書き込みます。 Heaven's Gate を使用してユーザー モード フックを回避し、追加のシェルコードを cmd.exe に挿入します。第 3 段階のシェルコードは、プロセス ハローイングを使用して、 Cobalt Strikeビーコンなどの最終ペイロードを logagent.exe に挿入します。

HijackLoader は、Heaven's Gate フック バイパスやセキュリティ ツールによって監視されている DLL のフック解除など、さまざまな回避戦略を採用しています。これは、プロセスのホロー化のバリエーションと注入のトランザクション化されたホロー化を利用し、トランザクション化されたセクションとプロセスのドッペルゲンジングを DLL のホロー化と組み合わせて、検出をさらに回避します。

HijackLoader には複数の検出防止技術が装備されています

HijackLoader と Shellcode で採用されている主な回避手法には次のものがあります。

• フックバイパス:
• 天国の門
• フックを外す
• プロセス中空のバリエーション
• インタラクティブなプロセス中空化のバリエーション:

• トレードクラフト分析

• Transacted Hollowing (トランザクションセクション/ドッペルゲンガー + Hollowing)

• トランザクションセクションの空洞化

• プロセス中空化

HijackLoader の利用は、そのような秘密攻撃を特定して防止するためのプロアクティブなサイバーセキュリティ対策の重要性を浮き彫りにします。

組織は、定期的なセキュリティ監査に重点を置き、堅牢なエンドポイント保護を実装し、悪意のある攻撃者が採用する進化する戦術から効果的に防御するために、新たな脅威に関する情報を常に入手する必要があります。

これらの対策に加えて、ユーザー教育と意識向上トレーニングは、これらの高度な攻撃ベクトルに関連するリスクを軽減する上で重要な役割を果たします。