HijackLoader permite que hackers contornem sistemas de defesa

Da Redação
08/02/2024

O HijackLoader, carregador de malware modular que utiliza técnicas de evasão, continua muito popular entre os hackers e agora deu origem a uma variante que emprega técnicas sofisticadas, como machine learning baseado em comportamento, para aumentar a sua complexidade e escapar às defesas. Investigadores da CrowdStrike identificaram a nova cepa que tem o potencial de tornar o processo mais furtivo. Os pesquisadores também observaram técnicas adicionais de unhooking (desengate, em tradução livre) usadas para ocultar atividades maliciosas.

Uma das novas técnicas mais interessantes usadas pelo HijackLoader é uma variação de esvaziamento de processo interativo, em que, em vez de criar um “processo filho” em um estado estático, o processo é executado aguardando a entrada de um pipe. Por exemplo, em vez de ter um motorista de fuga esperando em frente ao banco enquanto os assaltantes o estão roubando, o motorista de fuga está circulando pelo quarteirão aguardando um aviso dos assaltantes para ir buscá-los. Em resumo, um carro que está apenas dando voltas no quarteirão e agindo normalmente é menos suspeito do que um estacionado em frente ao banco com o motor ligado.

Veja isso
Carregador de malware já afeta 9% das organizações no Brasil
Novo carregador de malware é usado por grupos de ameaças

Outra variação de técnica envolve o encadeamento de processos de doppelgänging (injeção de códigos sem arquivos) e técnicas de hollowing de processos, que substitui código legítimo por um código malicioso para aprimorar seus recursos de evasão. Para usar uma analogia simples, um assaltante de banco disfarçado de segurança consegue passar pela porta da frente, mas se ele mostrar um crachá de segurança, é muito mais provável que consiga chegar ao cofre. A combinação de vários recursos de evasão de defesa aumenta as chances de uma ameaça se manter discreta por mais tempo.

A CrowdStrike diz que uma forma de detecção do malware é o uso  recursos baseados em indicadores de ataque (IOAs) que podem reconhecer o comportamento malicioso em vários estágios da cadeia de ataque, inclusive ao empregar táticas como tentativas de injeção de processos. 

Para saber em detalhes as técnicas de evasão do HijackLoader acesse este link

Compartilhar: