HijackLoader 是一款复杂的恶意软件加载器,最初于 2023 年被发现,如今它已进化出新型高级模块,旨在逃避安全检测与分析。
HijackLoader 也被称为 IDAT Loader 和 GHOSTPULSE,这种模块化恶意软件不仅能投放二级有效载荷,还运用多种技术绕过安全软件、注入代码,并在受感染系统中实现持久化驻留。
该恶意软件的模块化架构使威胁行为者能够通过新模块不断更新其功能。
这些模块主要聚焦于配置信息、安全逃避和代码执行功能。
最近,这款恶意软件得到了重大升级,新增的模块具备更复杂的反检测特性。
Zscaler 的研究人员在 HijackLoader 的 “武器库” 中识别出了几个新模块,包括用于掩盖函数调用来源的调用栈欺骗技术、检测分析环境的反虚拟机检查,以及通过计划任务实现的持久化机制。
这些增强功能表明,该恶意软件正朝着越来越复杂的逃避策略演变,旨在挫败检测与分析。
其中最引人注目的新增功能之一是调用栈欺骗技术,它能有效地隐藏应用程序编程接口(API)和系统调用的来源。
这种方法通过用合法系统动态链接库(DLL)中的地址替换实际返回地址来操纵栈帧,从而隐藏恶意活动,这使得安全工具难以识别可疑的函数调用。
深入剖析调用栈欺骗技术
HijackLoader 通过使用基指针寄存器(EBP),沿着 EBP 指针链在栈中导航,实现调用栈欺骗。
在执行敏感操作时,该恶意软件从栈帧中检索返回地址指针,并用 SM 模块中指定的合法 DLL 中的随机地址对其进行修补。
其实现方式尤为复杂,如下所示的用于直接系统调用的结构体:
struct DIRECTSYSCALL_STRUCT {
uint32_t APIHash; // API函数名的CRC32哈希值
uint32_t ssn; // 系统服务编号(SSN)
char *APIName; // API函数名
void *APIFunctionAddress; // API函数地址};
这项技术专门针对关键的原生系统 API,包括 ZwCreateSection、ZwMapViewOfSection、ZwProtectVirtualMemory 和 ZwWriteVirtualMemory 等。
完成这些操作后,HijackLoader 会恢复原始返回地址,尽可能减少其活动留下的痕迹。
这些先进逃避技术的应用,标志着恶意软件在复杂性上的一个令人担忧的发展趋势,凸显了采用多层安全防护方法来检测这类隐蔽威胁的必要性。
发表评论
您还未登录,请先登录。
登录