در سالهای اخیر، خانوادههای جدیدی از بدافزارها با روشهای پیچیده و غیرقابل شناسایی ظهور کردهاند. یکی از نمونههای بارز آن، HijackLoader است؛ یک اجراکننده (Loader) پیشرفته که مهاجمان سایبری برای توزیع بدافزارهای مختلف از آن استفاده میکنند. این ابزار مخرب با تکنیکهای مدرن دفاعگریزی، توانسته توجه محققان امنیتی را به خود جلب کند.
شرکت ترلیکس (Trellix)، در مقالهای مفصل به بررسی و تحلیل این بدافزار مخرب پرداخته است.
عـمـلـکـرد
وظیفه اصلی HijackLoader، دانلود و اجرای بدافزارهای دیگر، روی سیستم قربانی است. این بدافزار معمولاً از طریق سایتهای توزیع نرمافزارهای کرکشده و با بکارگیری تکنیک موسوم به SEO Poisoning (سمیسازی نتایج جستجو) منتشر میشود.
کاربر ناآگاه با کلیک روی لینکهای جعلی، به صفحات دانلودی هدایت میشود که در نهایت فایلهای ZIP آلوده را از سرویسهایی مانند MEGA دریافت میکنند.
زنـجـیـره آلـودگـی
1- مرحله اولیه؛ کاربر روی لینک دانلود کلیک میکند و از طریق چندین به اصطلاح Redirect به منبع مخرب هدایت میشود.
2- دریافت فایل ZIP؛ این فایل شامل ماژولهای مختلفی از جمله COPYLIST، BDATA و modUAC است که برای اجرای بدافزار استفاده میشوند.
3- دفاعگریزی؛ HijackLoader از تکنیکهایی مانند Manual DLL Mapping برای دور زدن سازوکارهای امنیتی استفاده کرده و نسخههای سالم فایلهای DLL را به صورت دستی بارگذاری میکند.
4- تزریق کد؛ بدافزار با تکنیکهایی مثل DLL Stomping و تقلید از پروسههای معتبر Windows، کد مخرب خود را به حافظه تزریق میکند.
5- اجرای Payload؛ در نهایت، بدافزارهای ثانویه نظیر LummaC2، Remcos، Redline Stealer، Vidar و XMRig اجرا میشوند.
قـابـلـیـتهـا
از جمله ویژگیهای کلیدی HijackLoader، میتوان به موارد زیر اشاره کرد:
- انتشار از طریق سایتهای آلوده و نتایج جعلی جستجو
- استفاده از DLL Unhooking برای عبور از سد آنتیویروسها
- ایجاد فایلهای LNK برای ماندگاری بر روی سیستم قربانی (Persistence)
- تزریق مخرب به پروسههای سیستمی معتبر
- قابلیت اجرای انواع بدافزارهای Stealer، RAT و Miner
راهکـارهـای دفـاعی پیشـنهـادی
1- مراقبت در برابر لینکهای دانلود مشکوک؛ کاربران باید از دانلود نرمافزار از منابع غیررسمی یا سایتهای کرکشده اجتناب کنند. بسیاری از آلودگیهای HijackLoader از همین مسیر آغاز میشوند.
2- استفاده از EDR و آنتیویروس پیشرفته؛ راهکارهای Endpoint Detection and Response – EDR و آنتیویروسهای نسل جدید که قابلیت شناسایی رفتارهای مشکوک را دارند میتوانند HijackLoader را قبل از اجرای کامل، شناسایی کنند.
3- شناسایی شاخصهای آلودگی (IoC)؛ راهبران باید بهطور مداوم دامنههای مشکوک، فایلهای ناشناس و الگوهای رفتاری غیرعادی را رصد کنند. بهکارگیری قواعد YARA برای شناسایی این بدافزار بسیار مؤثر است.
4- بهروزرسانی سیستم و نرمافزارها؛ سیستمعامل و مرورگرهای قدیمی اغلب هدف بدافزارها هستند. بهروزرسانی مداوم میتواند بسیاری از بردارهای حمله را مسدود کند.
5- آموزش کاربران؛ بخش مهمی از دفاع سایبری، آگاهی کاربر است. آموزش در زمینه مهندسی اجتماعی و خطرات دانلود فایلهای غیرمعتبر، نقش مهمی در جلوگیری از آلودگی دارد.
جـمـعبـنـدی
HijackLoader، نمونهای از تکامل بدافزارهای Loader است که با استفاده از تکنیکهای نوین دفاعگریزی و تزریق چندلایه، توانسته به یکی از تهدیدات مهم دنیای امنیت سایبری تبدیل شود. با بهکارگیری ترکیبی از راهکارهای فنی EDR، شناسایی IoCها و افزایش آگاهی کاربران، میتوان خطر ناشی از این بدافزار را تا حد زیادی کاهش داد.
اطـلاعـات بـیشـتر
مشروح گزارش ترلیکس از طریق لینک زیر قابلمطالعه است:
https://www.trellix.com/blogs/research/analysis-of-hijackloader-and-its-infection-chain