Какие механизмы позволяют хакерам быть невидимыми для радаров?
Компания CrowdStrike обнаружила, что авторы загрузчика HijackLoader Для просмотра ссылки Войдиили Зарегистрируйся обхода защиты, поскольку вредоносное ПО продолжает все чаще использоваться другими злоумышленниками для доставки дополнительных полезных нагрузок и инструментов.
Отмечается, что разработчик использовал стандартную технику подмена процесса ( Process Hollowing ) в сочетании с дополнительным триггером, который активировался при записи родительским процессом в канал. Такой подход может сделать уклонение от защиты более незаметным.
Вторая техника включает в себя необычную комбинацию методов Process Doppelgänging и Process Hollowing. Отправной точкой многоэтапной цепочки атак нового варианта HijackLoader является исполняемый файл («streaming_client.exe»), который проверяет наличие активного подключения к Интернету и приступает к загрузке конфигурации второго этапа с удаленного сервера.
Затем исполняемый файл загружает легитимную DLL -библиотеку, указанную в конфигурации, для активации шелл-кода, ответственного за запуск полезной нагрузки HijackLoader. Действия происходят с помощью комбинации методов Process Doppelgänging и Process Hollowing, что усложняет анализ и повышает возможности HijackLoader по обходу защиты.
Затем шелл-код второго этапа HijackLoader выполняет действия для отключения вебхуков с помощью Heaven's Gate и внедряет последующий шелл-код в cmd.exe. Heaven's Gate — это инструмент, который позволяет вредоносному ПО обходить средства безопасности конечных точек, вызывая 64-битный код в 32-битных процессах Windows, эффективно обходя пользовательские хуки.
Одним из ключевых методов уклонения HijackLoader является механизм внедрения процессов Transacted Hollowing , при котором транзакции файловой системы Windows используются для загрузки и исполнения вредоносного кода в контексте другого процесса
Инвестирование в новые возможности уклонения от защиты для HijackLoader (IDAT Loader) потенциально является попыткой сделать его более скрытным и незаметных для радаров традиционных решений безопасности. Новые методы сигнализируют как о преднамеренном, так и об экспериментальном развитии существующих возможностей уклонения от защиты, а также увеличение сложности анализа для исследователей угроз.
Компания CrowdStrike обнаружила, что авторы загрузчика HijackLoader Для просмотра ссылки Войди
Отмечается, что разработчик использовал стандартную технику подмена процесса ( Process Hollowing ) в сочетании с дополнительным триггером, который активировался при записи родительским процессом в канал. Такой подход может сделать уклонение от защиты более незаметным.
Вторая техника включает в себя необычную комбинацию методов Process Doppelgänging и Process Hollowing. Отправной точкой многоэтапной цепочки атак нового варианта HijackLoader является исполняемый файл («streaming_client.exe»), который проверяет наличие активного подключения к Интернету и приступает к загрузке конфигурации второго этапа с удаленного сервера.
Затем исполняемый файл загружает легитимную DLL -библиотеку, указанную в конфигурации, для активации шелл-кода, ответственного за запуск полезной нагрузки HijackLoader. Действия происходят с помощью комбинации методов Process Doppelgänging и Process Hollowing, что усложняет анализ и повышает возможности HijackLoader по обходу защиты.
Затем шелл-код второго этапа HijackLoader выполняет действия для отключения вебхуков с помощью Heaven's Gate и внедряет последующий шелл-код в cmd.exe. Heaven's Gate — это инструмент, который позволяет вредоносному ПО обходить средства безопасности конечных точек, вызывая 64-битный код в 32-битных процессах Windows, эффективно обходя пользовательские хуки.
Одним из ключевых методов уклонения HijackLoader является механизм внедрения процессов Transacted Hollowing , при котором транзакции файловой системы Windows используются для загрузки и исполнения вредоносного кода в контексте другого процесса
Инвестирование в новые возможности уклонения от защиты для HijackLoader (IDAT Loader) потенциально является попыткой сделать его более скрытным и незаметных для радаров традиционных решений безопасности. Новые методы сигнализируют как о преднамеренном, так и об экспериментальном развитии существующих возможностей уклонения от защиты, а также увеличение сложности анализа для исследователей угроз.
- Источник новости
- www.securitylab.ru