根据 CrowdStrike 在2月7日的博客文章,新的 HijackLoader 恶意软件变种正逐步采用一些高端的规避技术,这些技术增强了恶意软件在系统内的持久性和隐蔽性。恶意软件开发者结合了标准的进程空洞技术和一种新的触发方式,可能使得规避防御变得更为隐蔽。
CrowdStrike 的研究人员表示:“HijackLoader 正成为对手部署额外有效载荷和工具的热门工具,其开发者不断进行实验并增强其能力。”
随着安全团队及技术在识别和减轻已知威胁方面变得愈发精细,恶意软件创作者也在不断回应,采用越来越复杂的技术,使得模式识别变得更加困难。 Keeper Security 的安全架构副总裁Patrick Tiquet解释说:“HijackLoader 的新颖之处在于,它采取了一系列看似正常且无害的动作,随后再合成一个完全功能的恶意软件。这种缓慢的构建过程让它成功避开了基于特征的杀毒产品检测。通过延长不被发现的时间,恶意行为者能够实施更长时间的攻击,可能造成更大的损害并泄露敏感数据。”
海鸥加速器正版官网Qualys 威胁研究部的威胁研究员 Mohammad Shabbir 表示,Qualys 团队自去年以来一直在密切关注此加载器,令人感到有趣的是,其背后的行为者非常紧密地遵循商业产品的发展和演变生命周期。“这简直就像他们有一个经验丰富的产品经理在掌舵,”Shabbir 说,“没有哪个季度会错过对 HijackLoader 的新规避技术引入。每一行新代码都试图在终端检测和响应EDR与杀毒产品之前保持领先。这也是为什么许多已知恶意软件家族趋向于使用它进行传播的原因。”
Zscaler 在 去年九月的一篇博客文章 中首次报道了 HijackLoader。 当时,Zscaler 的研究人员表示 HijackLoader 被用于加载不同的恶意软件家族,例如 Danabot、SystemBC 和 RedLine Stealer。他们还提到 HijackLoader 使用 “syscalls” 来规避安全产品的监控,基于嵌入式的阻止列表检测特定进程,并延迟代码执行。
markdown 恶意软件 使用的技术 特点 HijackLoader 进程空洞技术 持久性强,规避防病毒检测 Danabot 远程控制 可加载其他有效载荷 SystemBC 协议隧道 数据泄露和窃取 RedLine Stealer 信息窃取 针对敏感数据的攻击
为了抵御这些先进的威胁,安全团队需要不断跟进最新的技术发展,采用创新的方法来提升防御能力。
官方推荐前往海鸥加速器正版官网获取原版客户端,保障数据安全与使用稳定。
