HijackLoader zloupotrebljava PNG slike

AUTOR ·

HijackLoader, takođe poznat kao IDAT Loader, je ozloglašeni program za učitavanje zlonamjernog softvera koji izaziva haos u svetu sajber bezbednosti od svoje prve identifikacije u septembru 2023. godine. Sigurnosni istraživači kompanije Zscaler su primijetili najnoviju HijackLoader verziju koja koristi metod dešifrovanja i analize PNG slika za učitavanje narednih faza zlonamjernog softvera.

HijackLoader

HijackLoader zloupotrebljava PNG slike; Source: Bing Image Creator

HIJACKLOADER

HijackLoader je program za učitavanje zlonamjernog softvera koji stvara zabrinutost zbog svog raznolikog opsega nosivosti i kontinuirane evolucije kako bi izbjegao otkrivanje. Ovaj zlonamjerni softver predstavlja značajan izazov za sajber bezbjednost širom sveta, kao što pokazuju statistike o distribuciji i obezbjeđivanje indikatora kompromisa (eng. Indicators of Compromise – IOCs) i MITRE ATT&CK tehnika za otkrivanje i ublažavanje. Ovaj svestrani dio zlonamjernog kôda  je korišćen za distribuciju različitih porodica zlonamjernog softvera, uključujući Amadey, Lumma Stealer, Meta Stealer, Racoon Stealer V2, Remcos RAT i Rhadamanthys.

 

Nove funkcionalnosti

Najnovija verzija HijackLoader zlonamjernog softvera je nadograđena poboljšanim funkcijama prikrivenosti, što otežava otkrivanje unutar kompromitovanih mreža tokom dužeg perioda. Ove nove funkcionalnosti su dizajnirane da povećaju sposobnost zlonamjernog softvera da ostane neotkriven. HijackLoader je poznat po svom modularnom dizajnu, koji mu omogućava da dešifruje i dekompresuje različite module, uključujući drugu fazu (“ti64” modul za 64-bitne procese i “ti” modul za 32-bitne procese), i da ih izvrši.

 

Prva faza

Prva faza programa za učitavanje služi za dinamičko 32-bitne rješavanje hodanjem kroz blok procesnog okruženja (eng. process environment block – PEB) i raščlanjivanjem zaglavlja Portable Executable (PE) koristeći SDBM algoritam heširanja. SDBM heš algoritam je jednostavan, brz metod poređenja stringova koji se koristi za API rješavanje u HijackLoader zlonamjernom softveru. Program za učitavanje koristi ovu tehniku da razriješi WinHTTP API kako bi provjerio internet vezu pre nego što izvrši svoje zlonamjerne aktivnosti. Ovo dinamičko API razrješavanje je izazovno tradicionalnim antivirusnim rješenjima zasnovanim na potpisima za efikasno otkrivanje i blokiranje zlonamjernog softvera.

 

Druga faza

Druga faza HijackLoader zlonamjernog softvera je modul koji se dešifruje i dekompresuje u prvoj fazi programa za učitavanje. Konkretno ime ovog modula zavisi od bitnosti (32-bitni ili 64-bitni) ciljnog procesa. Za 64-bitne procese naziva se “ti64”, dok se za 32-bitne procese naziva “ti”. Jednom dešifrovana i raspakovana, ova faza se izvršava od strane prve faze da bi se izvršile dalje zlonamjerne aktivnosti, a to uključuje učitavanje narednih faza zlonamjernog softvera pomoću metode koja uključuje analizu PNG slika.

 

PNG korisni teret

Kao što je već rečeno, prva faza HijackLoader zlonamjernog softvera dinamički rješava API prelaskom kroz blok procesnog okruženja (PEB) i raščlanjivanjem PE zaglavlja koristeći SDBM algoritam heširanja da bi pronašao WinHTTP API i provjerio internet konekciju preko određene URL adrese. Ako određeni uslovi nisu ispunjeni, onda se PNG datoteka preuzima i koristi za učitavanje druge faze zlonamjernog softvera.

Ugrađeni PNG korisni teret igra ključnu ulogu u ovom procesu. Kada je PNG ugrađen u samu HijackLoader datoteku, program za učitavanje ga traži koristeći određene bajtove kao markere koji ustvari predstavljaju IDAT zaglavlje i magično zaglavlje PNG slike.  Ako ih pronađe, vraća njihovu poziciju unutar podataka; u suprotnom, nastavlja pretragu sa prethodne pozicije.

Ako PNG treba da se preuzme umjesto da bude ugrađen, HijackLoader zlonamjerni softver dešifruje URL koristeći jednostavnu XOR šifru iz svoje konfiguracije, a zatim preuzima datoteku. Kada se dobije PNG, program za učitavanje koristi istu logiku kao što je iznad opisano da locira IDAT zaglavlje praćeno magičnim zaglavljem unutar preuzetih podataka. Pronađeni podaci sadrže module i konfiguracije koje se koriste za učitavanje druge faze.

Glavna svrha druge faze je ubrizgavanje glavnog instrumentalnog modula. Da bi se povećala prikrivenost, druga faza programa za učitavanje koristi više tehnika protiv analize koristeći više modula. Moduli imaju karakteristike koje uključuju UAC zaobilaženje, dodavanje Windows Defender Antivirus izuzetaka, korištenje Heaven Gate za izvršavanje x64 direktnih sistemskih poziva i ubacivanje zlonamjernog kôda u legitimne procese (eng. process hollowing).

 

Isporuka zlonamjernog softvera

HijackLoader program za učitavanje isporučuje porodice zlonamjernog softvera kao što su:

  • Amadey: Ovo je trojanac sposoban za prikupljanje podataka i dalje učitavanje zlonamjernog softvera, što ga čini najčešćom porodicom zlonamjernog softvera identifikovanom u analiziranim uzorcima,
  • Lumma Stealer, Racoon Stealer v2 i Meta Stealer: Ovo su sve kradljivci informacija koji ciljaju različite vrste podataka kao što su lozinke, kripto novčanici, informacije pretraživača i još mnogo toga,
  • Remcos: Ovo je trojanac za daljinski pristup (eng. Remote Access Trojan – RAT) koji omogućava backdoor pristup,
  • Rhadamanthys: Ovo je je kradljivac informacija koji cilja na širi spektar podataka, uključujući novčanike, elektronsku poštu, aplikacije za razmjenu poruka i još mnogo toga.

 

ZAKLJUČAK

HijackLoader je program za učitavanje zlonamjernog softvera koji se razvija i predstavlja značajnu prijetnju za sajber bezbednost širom sveta zbog svog raznovrsnog opsega nosivosti i skrivenih mogućnosti. Najnovija verzija ovog programa za učitavanje koristi metodu dešifrovanja i analize PNG slika za učitavanje narednih faza zlonamjernog softvera. Pored toga, sigurnosni istraživači su primijetili da ova nadogradnja omogućava zlonamjernom softveru da ostane neotkriven unutar kompromitovanih mreža tokom dužeg perioda zbog njegove povećane prikrivenosti. Program za učitavanje sada može da dodaje izuzetke za Windows Defender, da zaobiđe kontrolu korisničkog naloga (UAC), da izbegne API priključke koje obično koriste antivirusni programi za otkrivanje i da koristi tehniku ubacivanje zlonamjernog kôda u legitimne procese.

 

ZAŠTITA

Evo nekih opštih preporuka koje će pomoći u zaštiti od HijackLoader programa za učitavanje zlonamjernog softvera:

  1. Održavati operativni sistem i softver ažurnim sa najnovijim ažuriranjima i bezbjednosnim ispravkama. Ovo može pomoći u sprečavanju poznatih ranjivosti koje napadači mogu da iskoriste za HijackLoader isporuku ili isporuku drugog zlonamjernog softvera,
  2. Koristiti renomirano antivirusno rješenje koje uključuje zaštitu u realnom vremenu, što može pomoći u otkrivanju i blokiranju pokušaja preuzimanja ili izvršavanja HijackLoader programa za učitavanje zlonamjernog softvera ili njegovih povezanih modula,
  3. Biti oprezan sa klikovima na veze u elektronskoj pošti ili prilikom posjete nepoznatim internet lokacijama, jer one mogu sadržati phishing napade ili zlonamjerni sadržaj dizajniran za HijackLoader isporuku ili isporuku drugog zlonamjernog softvera,
  4. Koristiti jake lozinke za sve naloge i omogućiti autentifikaciju u više koraka gdje je to moguće kako bi se spriječio neovlašteni pristup korisničkim sistemima,
  5. Primjenjivati bezbjednosne kontrole mreže kao što su zaštitni zidovi i sistemi za otkrivanje upada kako bi se blokirao poznati zlonamjerni saobraćaj i otkrili potencijalne napadi pre nego što stignu do korisničkih sistema,
  6. Redovno skenirati sisteme u potrazi za ranjivostima i odmah riješiti sve identifikovane probleme,
  7. Koristiti sistem za sprečavanje upada zasnovan na hostu (eng. host-based intrusion prevention system  – HIPS) koji može da nadgleda aktivnost sistema u realnom vremenu i blokira pokušaje izvršenja sumnjivog kôda ili učitavanja zlonamjernih modula poput onih koje koristi HijackLoader.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.