HijackLoader
Zscaler analysiert HijackLoader - Malware-Downloader mit modularem Aufbau
Der Downloader HijackLoader erfährt zunehmende Popularität in den Kreisen von Bedrohungsakteuren, weshalb die Analysten des ThreatLabZ-Teams diese seit Juli 2023 auftretende Malware nun genauer untersucht haben . Aufgrund seiner modularen Architektur ist der Loader in der Lage, eine Vielzahl von Modulen für die Code-Injektion und -Ausführung zu verwenden. Auf der Grundlage von Zscaler Telemetriedaten lässt sich darauf schließen, dass von HijackLoader ein großes Gefährdungspotenzial ausgeht, da er zum Laden verschiedener Malware-Familien wie Danabot, SystemBC und RedLine Stealer verwendet werden kann. Er nutzt für die Code-Injektion eingebettete Module, die Flexibilität ermöglichen und vom Vorgehen traditioneller Loader abweichen.
Der Loader beginnt mit der Ausführung einer modifizierten Funktion der Windows C Runtime (CRT). Während seiner Initialisierungsphase stellt der Loader fest, ob die endgültige Payload in die Binärdatei eingebettet ist oder ob er sie von einem externen Server herunterladen muss. Um dies zu erreichen, enthält er eine verschlüsselte Konfiguration. Darüber hinaus wird eine Reihe von Umgehungstechniken verwendet, um der Entdeckung zu entgehen. Zu diesen Techniken gehören beispielsweise das dynamische Laden von Windows-API-Funktionen durch Ausnutzung einer benutzerdefinierten API-Hashing-Technik oder die Durchführung eines HTTP-Verbindungstests mit einer legitimen Website (z. B. mozilla.org). Wenn keine Verbindung hergestellt werden kann, fährt HijackLoader nicht mit der Ausführung fort und begibt sich in eine Endlosschleife, bis eine Verbindung hergestellt wird. Außerdem wird in der ersten Stufe das Vorhandensein einer Reihe von laufenden Prozessen von Sicherheitslösungen überprüft. Je nachdem, welche Prozesse gefunden werden, führt der Loader unterschiedliche Verzögerungsfunktionen durch.
HijackLoader lokalisiert die Payload der zweiten Stufe (d. h. das ti-Modul) schrittweise. Dazu analysiert er den entschlüsselten Konfigurationsblock, den er in der Initialisierungsphase erhalten hat. Dann sucht HijackLoader die verschlüsselte Payload-URL und entschlüsselt sie mit einer bitwise XOR-Operation. Anschließend lädt er die Payload herunter und prüft sie auf das Vorhandensein der (im Konfigurationsblock enthaltenen) Signatur in den Daten. Wenn die Validierung erfolgreich ist, wird die Payload auf die Festplatte geschrieben. Nun sucht der Loader anhand des zweiten Markers nach verschlüsselten Blobs. Jeder Marker steht für den Beginn eines verschlüsselten Blobs zusammen mit der Größe des Blobs (die vor jedem Auftreten gespeichert wird). Außerdem befindet sich der XOR-Schlüssel hinter dem Offset des ersten verschlüsselten Blobs. Sobald alle verschlüsselten Blobs extrahiert worden sind, werden sie miteinander verkettet und mit dem XOR-Schlüssel entschlüsselt. Schließlich wird die entschlüsselte Payload mit dem LZNT1-Algorithmus dekomprimiert.
Danach werden verschiedenste Module heruntergeladen. Am Ende wird die eingebettete Payload mit einer bitwise XOR-Operation entschlüsselt, wobei der Schlüssel aus den ersten 200 Bytes abgeleitet wird. Der Shellcode von HijackLoader fährt dann mit der Injektion oder direkten Ausführung der entschlüsselten Nutzdaten fort. Welche Technik der Shellcode verwendet, hängt von verschiedenen Faktoren ab, z. B. vom Dateityp der Payload und einem „Flag“, der in den Einstellungen gespeichert ist und die zu verwendende Injektionsmethode angibt.
Zusammenfassend lässt sich sagen, dass HijackLoader ein modularer Loader mit Umgehungstechniken ist, der eine Vielzahl von Ladeoptionen für bösartige Payloads bietet. Auch wenn die Qualität des Codes schlecht ist, warnen die Sicherheitsforscher von Zscaler angesichts der zunehmenden Beliebtheit vor dem neuen Loader. Sie erwarten Code-Verbesserungen und eine weitere Nutzung durch mehr Bedrohungsakteure, insbesondere um die von Emotet und Qakbot hinterlassene Lücke zu füllen. Die Zscaler Cloud Sandbox erkennt HijackLoader anhand unterschiedlichster Indikatoren und blockiert die Aktivitäten.
