-
采用模块化设计逃避检测,安全公司披露恶意载入器 HijackLoader
- 时间:2024-05-11 01:56:24 来源:系统之家下载网 人气:6
IT之家 5 月 10 日消息,安全公司 Zscaler 近日发布报告,披露了一款采用“模块化设计”的恶意载入器 HijackLoader,这款载入器可以加装各种模块以进行脚本注入、远程命令执行等操作,同时还能够根据用户设备端情况“智能”逃避检测。
据悉,相关载入器能够绕过 UAC 措施将黑客恶意软件加入到微软 Defender 白名单中,还支持进程空洞(Process Hollowing)、管道触发激活、进程分身等策略,同时还拥有额外的脱钩技术。
IT之家注意到,安全公司披露了一个复杂的 HijackLoader 样本,该样本以 Streaming_client.exe 启动,利用“混淆配置”逃避防火墙静态分析,之后使用 WinHTTP API 通过访问 https [:]//nginx [.] org 来测试互联网连接,并通过远程服务器下载第二阶段攻击所需配置。
在成功下载第二阶段配置后,相关样本便会搜索 PNG 标头字节,并使用 XOR 进行解密,同时使用 RtlDecompressBuffer API 进行解压缩。随后加载配置中指定的“合法”Windows DLL,将 shellcode 写入其 .text 部分以供其执行(将恶意代码嵌入到合法进程中)。
此后,该恶意软件利用被称为“Heaven's Gate”的挂钩方案将额外的 shellcode 注入 cmd.exe,之后 使用进程空洞将最终有效负载(例如 Cobalt Strike 信标)注入到 logagent.exe 中。
研究人员同时发现,黑客主要利用 HijackLoader 散布名为 Amadey 的恶意软件,以及勒索软件 Lumma,用于随机加密受害者设备上的重要文件,并借机向受害者勒索数字货币。
相关文章
-
Spotify 再次涨价,部分套餐已贵过苹果 Apple Music
流媒体音乐服务 Spotify 再次宣布上调美国区会员订阅价格,这是其在过去 12 个月内第二次上调价格,理由是“为用户带来更优质的体验”。...2024-06-04 -
纽交所突发技术故障:巴菲特旗下公司股价暴跌 99.97%、多只美股闪崩近 100%
纽约证券交易所于北京时间 6 月 3 日晚间发生了技术故障,导致巴菲特旗下的伯克希尔哈撒韦公司的 A 类股票显示股价报 185.10 美元 / 股,暴跌达到 99.97%。...2024-06-04 -
磨铁图书对京东无限期停止发货,曾出品《盗墓笔记》《明朝那些事儿》等
磨铁集团创始人、董事、CEO 沈浩波表示,在磨铁已经全面对京东停止发货,并一再对京东低价乱价扰乱市场秩序的行为表达反对的情况下,京东依然无视我们的诉求,要继续强行让我们的产品参加他们的低价促销。这是在反复用脚踩着我们的脸在地上摩擦。...2024-06-04 -
欧洲刑警组织 Europol 近日联合美国、英国等数十国家地区刑警面向几款臭名昭著的网络僵尸病毒展开“终结行动(Operation Endgame)”打击,此次安全行动主要铲除了 IcedID、Pikabot、Smokeloader、Bumblebee 和 Trickbot 等僵尸网络,其中 Trickbot(或 TrickLoader)号称是最“古老”的僵尸网络之一。而 IcedID 最初是一款金融木马,后来由于感染的设备较多,逐渐为僵尸网络集群,主要为黑客散播恶意木马软件 / DDoS 提供“肉鸡”及跳板服务。...2024-06-04