Zscaler揭秘“模块化设计”恶意载入器：可逃过检测并注入脚本

据安全机构Zscaler近期发布的报告称，新型恶意加载器HijackLoader已被开发出来，它具有模块化设计，可添加各类功能，以便进行脚本注入和远程命令执行。更值得关注的是，该加载器能根据用户设备状况灵活地躲避检测。

据了解，此类加载器有能力绕过UAC防护，将黑客恶意软件纳入Microsoft Defender白名单，并支持进程空洞、管道触发激活及进程分身等多种策略。此外，它还具备额外的脱钩技术。

IT之家注意到，安全公司揭示了一个复杂的HijackLoader样本，该样本以Streaming_client.exe启动，利用混淆配置避开防火墙静态分析。然后，它使用WinHTTP API访问https://nginx.org测试网络连接，并从远程服务器下载第二阶段攻击所需配置。

在成功下载第二阶段配置后，样本开始搜索PNG头部字节，用XOR解密，再借助RtlDecompressBuffer API进行解压。接着，它加载配置中指定的“合法”Windows DLL，将shellcode写入其中，使之得以执行（将恶意代码嵌入到合法进程中）。

接下来，该恶意软件运用“Heaven‘s Gate”挂钩方案将额外的shellcode注入cmd.exe，然后利用进程空洞将最终有效负载（如Cobalt Strike信标）注入logagent.exe。

研究人员进一步发现，黑客主要利用HijackLoader传播名为Amadey的恶意软件，以及勒索软件Lumma，它们会随机加密受害者设备上的重要文件，并以此为由向受害者勒索数字货币。