据安全机构Zscaler近期发布的报告称,新型恶意加载器HijackLoader已被开发出来,它具有模块化设计,可添加各类功能,以便进行脚本注入和远程命令执行。更值得关注的是,该加载器能根据用户设备状况灵活地躲避检测。
据了解,此类加载器有能力绕过UAC防护,将黑客恶意软件纳入Microsoft Defender白名单,并支持进程空洞、管道触发激活及进程分身等多种策略。此外,它还具备额外的脱钩技术。
IT之家注意到,安全公司揭示了一个复杂的HijackLoader样本,该样本以Streaming_client.exe启动,利用混淆配置避开防火墙静态分析。然后,它使用WinHTTP API访问https://nginx.org测试网络连接,并从远程服务器下载第二阶段攻击所需配置。
在成功下载第二阶段配置后,样本开始搜索PNG头部字节,用XOR解密,再借助RtlDecompressBuffer API进行解压。接着,它加载配置中指定的“合法”Windows DLL,将shellcode写入其中,使之得以执行(将恶意代码嵌入到合法进程中)。
接下来,该恶意软件运用“Heaven‘s Gate”挂钩方案将额外的shellcode注入cmd.exe,然后利用进程空洞将最终有效负载(如Cobalt Strike信标)注入logagent.exe。
研究人员进一步发现,黑客主要利用HijackLoader传播名为Amadey的恶意软件,以及勒索软件Lumma,它们会随机加密受害者设备上的重要文件,并以此为由向受害者勒索数字货币。
-
服务器
+关注
关注
12文章
9123浏览量
85324 -
模块化
+关注
关注
0文章
331浏览量
21343 -
uac
+关注
关注
0文章
9浏览量
4114
发布评论请先 登录
相关推荐
评论