采用模块化设计逃避检测，安全公司披露恶意载入器 HijackLoader

电脑系统网 5 月 10 日信息，安全公司 Zscaler 近日发布报告，披露了一款选用“模块化”的故意载入器 HijackLoader，这一款载入器能够改装各种各样控制模块并进行脚本制作引入、远程连接命令实行等行为，同时也可以依据用户设备端状况“智能化”躲避检验。

据了解，有关载入器可以绕开 UAC 对策将网络黑客故意软件参与到微软公司 Defender 授权管理中，还提供了进程裂缝（Process Hollowing）、管路开启激话、进程分身术等策略，同时还拥有额外挂钩技术性。

电脑系统网留意到，安全公司披露了一个繁杂的 HijackLoader 样版，该样版以 Streaming_client.exe 运行，利用“搞混配备”躲避网络防火墙静态分析，之后使用 WinHTTP API 根据浏览 https [:]//nginx [.] org 来检测网络连接，并且通过虚拟服务器下载第二阶段进攻需要配备。

在下载第二阶段配备后，相关样本就会检索 PNG 标题文字字节数，并用 XOR 开展破译，一起使用 RtlDecompressBuffer API 开展压缩包解压。接着载入配置中指定“合理合法”Windows DLL，将 shellcode 载入其.text 一部分以便其实行（将恶意程序嵌入到合理合法进程中）。

自此，该故意软件利用被称作“Heaven's Gate”的挂勾计划方案将额外 shellcode 引入 cmd.exe，以后 应用进程裂缝将最终有效载荷（比如 Cobalt Strike 传送门）融入到 logagent.exe 中。

科研人员同时发现，网络黑客关键利用 HijackLoader 散播名叫 Amadey 的故意软件，及其敲诈勒索软件 Lumma，用以任意数据加密受害人设备上秘密文件，并趁机向受害人敲诈勒索虚拟货币。

广告宣传申明：文章正文所含的对外开放跳转页面（包括不限于网页链接、二维码、动态口令等方式），用以传递更多信息，节约优选时长，结论仅作参考，电脑系统网全部文章内容均包括本声明。