Chiến lược thoát khỏi HijackLoader: Các biện pháp bảo trì và phòng ngừa

02/04/2025
2 mins read
Nội dung
Tăng cường chiến thuật né tránh
Các cơ chế bảo trì
Các chỉ số của sự cố (IOC)
Kết luận

Tăng cường chiến thuật né tránh

  1. Mạo danh Call Stack: HijackLoader thực hiện mạo danh call stack để che giấu nguồn gốc của các cuộc gọi hàm như API hoặc cuộc gọi hệ thống. Kỹ thuật này thao túng địa chỉ trả về trên stack, thay thế chúng bằng các địa chỉ giả mạo từ các DLL hệ thống hợp pháp, hiệu quả trong việc che giấu hoạt động độc hại.
  2. Phát hiện Máy Ảo: Mô-đun ANTIVM mới được giới thiệu cho phép HijackLoader phát hiện các môi trường ảo hóa thường được sử dụng cho phân tích phần mềm độc hại. Mô-đun này sử dụng nhiều kiểm tra, bao gồm thời gian lệnh CPU, phát hiện hypervisor và đánh giá tài nguyên hệ thống như bộ nhớ vật lý và số lượng bộ xử lý.

Các cơ chế bảo trì

  1. Các tác vụ định kỳ: Kiến trúc mô-đun của HijackLoader bao gồm các thành phần như modTaskmodTask64, thiết lập sự bền bỉ bằng cách tạo các tác vụ định kỳ. Các tác vụ này được cấu hình bằng các tham số được lưu trữ trong mô-đun PERSDATA.
  2. Tải mã phản chiếu: Malware sử dụng tải mã phản chiếu để thực thi động các mô-đun trong khi tránh phát hiện tĩnh. Phương pháp này cho phép malware tải các mô-đun mà không bị phát hiện bởi các công cụ phân tích tĩnh truyền thống.
  3. Tiêm quy trình: Các mô-đun nổi bật khác bao gồm CUSTOMINJECT và CUSTOMINJECTPATH, tạo điều kiện cho việc tiêm quy trình bằng cách tận dụng các thực thi hợp pháp được tạo ra ở các đường dẫn tệp chỉ định. Mô-đun SM đóng vai trò quan trọng trong việc mạo danh call stack, chỉ định các DLL hợp pháp để thao tác địa chỉ.

Các chỉ số của sự cố (IOC)

Để hỗ trợ các nỗ lực phát hiện, các nhà nghiên cứu đã xác định một số IOC liên quan đến HijackLoader:

  • SHA256 Hashes của các mẫu: Các hash SHA256 cụ thể của các mẫu HijackLoader được cung cấp, có thể được sử dụng cho việc phát hiện.
  • Các mô-đun mã hóa: Danh sách các mô-đun mã hóa liên quan đến HijackLoader, điều này giúp trong việc xác định và giải mã phần mềm độc hại.

Kết luận

Phát triển liên tục của HijackLoader chứng tỏ khả năng thích ứng của nó trong việc né tránh các biện pháp bảo mật hiện đại. Với thiết kế mô-đun và các chiến thuật né tránh tiên tiến, nó gây ra một mối đe dọa đáng kể cho các tổ chức trên toàn thế giới. Các đội ngũ bảo mật cần phải luôn tỉnh táo bằng cách tận dụng thông tin tình báo về mối đe dọa cập nhật và triển khai các cơ chế phát hiện mạnh mẽ để chống lại phần mềm độc hại đang phát triển này.