Phân tích kỹ thuật của Trình tải phần mềm độc hại mới HijackLoader

15:00 | 06/10/2023 | HACKER / MALWARE

HijackLoader là trình tải phần mềm độc hại mới đã trở nên phổ biến trong vài tháng qua. Mặc dù HijackLoader không chứa các tính năng nâng cao, nhưng nó có khả năng sử dụng nhiều module khác nhau để chèn và thực thi mã vì nó sử dụng kiến trúc module, một tính năng mà hầu hết các trình tải không có. Dựa trên báo cáo của Zscaler, bài viết này sẽ trình bày các hoạt động bên trong của HighjackLoader, từ quá trình khởi tạo đến thiết kế module cho đến các kỹ thuật chống phân tích.

Phân tích kỹ thuật của Trình tải phần mềm độc hại mới HijackLoader

TỔNG QUAN

HijackLoader là trình tải phần mềm độc hại mới mà nhóm nghiên cứu phần mềm nhúng ThreatLabz đến từ công ty an ninh mạng Zscaler đã phát hiện lần đầu tiên vào tháng 7/2023. Trình tải này đang được sử dụng để tải các dòng phần mềm độc hại khác nhau như Danabot, SystemBC và RedLine Stealer, làm tăng thêm mối đe dọa tiềm tàng của nó.

HijackLoader sử dụng lời gọi hệ thống (system call - cách làm cho chương trình thực hiện một tương tác với hệ điều hành) để trốn tránh sự giám sát từ các giải pháp bảo mật, phát hiện các quy trình cụ thể dựa trên danh sách chặn được nhúng và trì hoãn việc thực thi mã ở các giai đoạn khác nhau.

Phần mềm độc hại này sử dụng các module nhúng cung cấp khả năng thực thi và tiêm mã (code injection), một tính năng không phổ biến ở các trình tải thông thường. Thiết kế module của HijackLoader cho phép nó hoạt động linh hoạt, thích ứng với nhiều hành động khác nhau và tránh bị phát hiện hiệu quả hơn.

TRÌNH TẢI GIAI ĐOẠN ĐẦU TIÊN

Giai đoạn khởi tạo

Sau khi được kích hoạt, HijackLoader bắt đầu bằng cách thực thi một chức năng đã sửa đổi của Windows C Runtime (CRT). Trong giai đoạn khởi tạo, trình tải xác định xem payload cuối cùng đã được nhúng vào tệp nhị phân hay nó cần tải xuống từ máy chủ bên ngoài. Để đạt được điều này, HijackLoader bao gồm một cấu hình được mã hóa, lưu trữ thông tin, ví dụ như:

Giá trị băm DWORD để phát hiện giai đoạn tiếp theo.
Mã băm API Windows để tải động (dynamic loading).
Một mảng array DWORD được sử dụng để xác định xem trình tải có phải tải xuống payload cuối cùng hay không. Offset cho các trường này có thể khác nhau tùy theo mẫu.
Tham số cho một số chức năng Windows API.
Giá trị DWORD được sử dụng để xác thực payload khi được tải từ ổ đĩa bằng cách tìm kiếm nó trong dữ liệu của payload.
Giá trị DWORD, được sử dụng để phát hiện tất cả các BLOB (Binary Large Object - một kiểu dữ liệu có thể lưu trữ đối tượng nhị phân hoặc dữ liệu) của payload được mã hóa.
Danh sách chặn các tiến trình (được mô tả sau trong Bảng 1).

Khối cấu hình (block) ở trên được phát hiện bằng cách sử dụng các offset được mã hóa cứng (hardcode) và sau đó được giải mã bằng phép XOR hoặc ADD theo bit.

Chống phân tích

Giai đoạn đầu tiên bao gồm một số kỹ thuật nhằm chống sự phân tích của các giải pháp bảo mật:

Tải động các chức năng API của Windows bằng cách tận dụng kỹ thuật băm API tùy chỉnh.
Thực hiện kiểm tra kết nối HTTP tới một trang web hợp pháp (ví dụ: mozilla.org). Nếu không thể thực hiện kết nối thì HijackLoader sẽ không tiếp tục thực thi và đi vào một vòng lặp vô hạn cho đến khi kết nối được thực hiện.
Trì hoãn việc thực thi mã ở các giai đoạn khác nhau.
Giai đoạn đầu tiên kiểm tra sự hiện diện của một tập hợp các tiến trình đang chạy. Tùy thuộc vào tiến trình hiện có, nó sẽ thực thi các chức năng khác nhau.

Bảng 1. Danh sách chặn các tiến trình của HijackLoader

TRÌNH TẢI GIAI ĐOẠN HAI

HijackLoader định vị payload của giai đoạn thứ hai (tức là module “ti”) bằng cách thực hiện theo các bước sau:

1. Phân tích khối cấu hình được giải mã, được lấy từ giai đoạn khởi tạo. Sau đó, HijackLoader định vị URL payload được mã hóa và giải mã nó bằng phép XOR theo bit.

2. Payload tải xuống và xác thực nó bằng cách kiểm tra sự hiện diện của ký số (có trong khối cấu hình) trong dữ liệu của nó. Nếu quá trình xác thực thành công, nó sẽ ghi nó vào ổ đĩa.

3. Tìm kiếm các BLOB được mã hóa bằng điểm đánh dấu thứ hai. Mỗi điểm đánh dấu thể hiện sự bắt đầu của một BLOB được mã hóa cùng với kích thước của BLOB (được lưu trữ trước mỗi lần xuất hiện). Hơn nữa, khóa XOR nằm sau offset của BLOB được mã hóa đầu tiên.

4. Khi tất cả các BLOB được mã hóa đã được trích xuất, chúng sẽ được nối với nhau và được giải mã bằng khóa XOR.

5. Cuối cùng, payload được giải mã sẽ giải nén bằng thuật toán LZNT1.

Hình 1. Mã giai đoạn thứ hai của HijackLoader để tải xuống và thực thi payload

Quy trình tương tự được thực hiện khi payload được tải từ ổ đĩa. Sự khác biệt duy nhất là HijackLoader sử dụng một mẫu bổ sung (từ khối cấu hình) để tìm offset đầu của payload được nhúng (Hình 2).

Hình 2. Thực thi payload giai đoạn hai của HijackLoader từ một tệp cục bộ

Payload được giải mã bao gồm hai thành phần:

- Bảng module: Bảng này bao gồm các module HijackLoader cùng với cài đặt của chúng và payload cuối cùng (ví dụ: SystemBC).

- Shellcode và cài đặt chính hoặc danh sách các tệp tùy chọn được sử dụng để chiếm quyền điều khiển DLL.

Tiếp theo, giai đoạn đầu tiên cần tải và thực hiện giai đoạn tiếp theo. Điều này được thực hiện bằng cách lấy đường dẫn tệp của DLL để vá (ví dụ: “mshtml.dll”) và một bảng cho các module của HijackLoader được bao gồm trong payload được giải mã.

Sau đó, HijackLoader tải DLL được chỉ định và định vị giai đoạn tiếp theo (module “ti”) sau khi tìm kiếm hàm băm của nó (có trong khối cấu hình) trong bảng module. Cuối cùng, nó sao chép dữ liệu của module vào phần mã của DLL hợp pháp và thực thi nó. Chú ý, đường dẫn tệp và tên của các tệp được HijackLoader ghi vào đĩa được tạo dựa trên tên người dùng của máy chủ bị xâm nhập.

MODULE

Các module của HijackLoader hỗ trợ quá trình thực thi và chèn mã của payload cuối cùng. Bảng 2 hiển thị một số module được ThreatLabz xác định, cùng với các giá trị và chức năng CRC32 tương ứng.

Bảng 2. Một số module HijackLoader được ThreatLabz quan sát

Hơn nữa, mỗi module có cấu trúc chứa thông tin như: tên module; offset module trong bảng; kích thước module. Do chất lượng của mã và phần còn lại của các trường cấu trúc không được sử dụng nên các nhà nghiên cứu không thể xác định mục đích của các thành viên cấu trúc còn lại.

Tuy nhiên, ThreatLabz đánh giá rằng các thông tin sau cũng có thể được đưa vào như: dấu thời gian của module; tên nội bộ (ví dụ: “rLdr64” cho module “rshell”).

Từ các module được đề cập ở trên, phân tích của các nhà nghiên cứu tập trung vào “ti” và các module shellcode thiết bị chính, vì hai module này triển khai phần lớn chức năng chính cho HijackLoader.

Module “ti”

Các kỹ thuật chống phân tích cũng giống như được trình bày trong phần trước, nhưng có hai điểm khác biệt đáng chú ý:

Các nhà phát triển đã đưa vào kỹ thuật “Heaven’s gate” (tên thường gọi của một kỹ thuật cho phép binary 32-bit thực thi các lệnh 64-bit mà không cần tuân theo luồng xử lý chuẩn trên môi trường).
Danh sách chặn tiến trình vẫn giữ nguyên nhưng hành vi mã khác nhau.

Vai trò chính của module này là đưa module “Main instrumentation” vào, chịu trách nhiệm tải giai đoạn cuối cùng. Module “ti” thực hiện giai đoạn tiếp theo bằng cách sử dụng một trong các phương pháp sau:

Thực thi lại tệp ban đầu từ vị trí và tham số mới.
Tạo một tiến trình mới (được chỉ định trong cấu hình), ánh xạ tệp bị tấn công vào đó (ví dụ: “mshtml”) và chèn mã shellcode của module “Main instrumentation”. Ngoài ra (tùy thuộc vào cờ cấu hình), nó thực thi module “FIXED”, modul này có thể được sử dụng sau này để chèn mã.
HijackLoader có thể bao gồm một tập hợp tệp bổ sung, có thể được sử dụng để chiếm quyền điều khiển DLL. Trong trường hợp này, nó ghi chúng vào ổ đĩa cùng với payload được mã hóa (từ giai đoạn 1) và thực thi tệp thực thi bị tấn công.
Thực thi module “ESLDR” và đưa vào shellcode “Main instrumentation”.

Module “Main instrumentation”

Module này chứa chức năng chính để tải và thực thi giai đoạn cuối cùng của chuỗi lây nhiễm.

Các kỹ thuật chống phân tích vẫn được giữ nguyên với các giai đoạn nói trên. Tuy nhiên, một điểm khác biệt chính là việc triển khai module “AVDATA”. Module này chứa một tập hợp các tên tiến trình và nếu phát hiện bất kỳ tên nào trong số đó thì hành vi mã có thể thay đổi.

Tải trọng nhúng được giải mã bằng phép XOR theo bit với khóa được lấy từ 200 byte đầu tiên. Shellcode của HijackLoader sau đó tiến hành chèn hoặc thực thi trực tiếp payload được giải mã. Kỹ thuật mà shellcode sử dụng phụ thuộc vào một số yếu tố khác nhau, chẳng hạn như loại tệp của payload và cờ, được lưu trữ trong cài đặt và cho biết phương pháp chèn sẽ sử dụng.

KẾT LUẬN

HijackLoader là một trình tải module với các kỹ thuật lẩn tránh và chống phân tích, cung cấp nhiều tùy chọn tải cho các payload độc hại. Mức độ phổ biến ngày càng tăng của HijackLoader cho thấy các tác nhân đe dọa có thể ngày càng áp dụng nó trong việc triển khai tải các dòng phần mềm độc hại khác nhau. Vì thế, cá nhân người dùng cuối, các cơ quan, đơn vị cần phải luôn cảnh giác và cập nhật thường xuyên về các mối đe dọa nguy hiểm này, từ đó có phương án chủ động phòng tránh kịp thời.

Hồng Đạt

‹ › ×

Tin liên quan

Phân tích QwixxRAT: Trojan truy cập từ xa mới xuất hiện trên Telegram và Discord

10:00 | 28/08/2023

Một trojan truy cập từ xa (RAT) mới có tên là “QwixxRAT” đang được các tin tặc rao bán thông qua các nền tảng Telegram và Discord. Các doanh nghiệp và người dùng cá nhân đều có thể gặp rủi ro bởi vì trojan này âm thầm xâm nhập vào các thiết bị mục tiêu, tạo ra một mạng lưới khai thác dữ liệu rộng lớn.

Phân tích Lu0Bot: Phần mềm độc hại trên nền tảng Node.js (Phần 1)

07:00 | 03/11/2023

Hiện nay, ngày càng có nhiều nhà phát triển phần mềm độc hại sử dụng kết hợp đa ngôn ngữ lập trình để vượt qua các hệ thống bảo mật phát hiện nâng cao. Trong đó, phần mềm độc hại Node.js Lu0Bot là minh chứng nổi bật cho xu hướng này. Bằng cách nhắm mục tiêu vào môi trường runtime - thường được sử dụng trong các ứng dụng web hiện đại và sử dụng tính năng che giấu nhiều lớp, Lu0Bot là mối đe dọa nghiêm trọng đối với các tổ chức và cá nhân. Trong phần I của bài viết sẽ khám phá kiến trúc của phần mềm độc hại này.

Phân tích chiến dịch tấn công lạm dụng tính năng tìm kiếm của Windows để cài đặt Trojan truy cập từ xa

12:00 | 14/08/2023

Một tính năng tìm kiếm hợp pháp của Windows đang bị khai thác bởi các tác nhân độc hại không xác định để tải xuống các payload tùy ý từ các máy chủ từ xa và xâm phạm các hệ thống được nhắm mục tiêu bằng các trojan truy cập từ xa (RAT) như AsyncRAT và Remcos RAT.

Bóc tách chiến dịch phân phối phần mềm độc hại DarkGate

09:00 | 27/10/2023

Theo các phát hiện mới nhất từ Công ty an ninh mạng Trend Micro, trong khoảng thời gian từ tháng 7 đến tháng 9/2023, các cuộc tấn công bằng phần mềm độc hại DarkGate đã lạm dụng các tài khoản nhắn tin Skype và Teams bị xâm nhập để phân phối script loader VBA cho các tổ chức được nhắm mục tiêu, sau đó tải xuống và thực thi payload giai đoạn hai bao gồm script AutoIT chứa mã phần mềm độc hại DarkGate.

Phần mềm độc hại FormBook sử dụng trình tải MalVirt để tránh bị phát hiện

10:00 | 16/02/2023

Một chiến dịch quảng cáo độc hại đang được sử dụng để phát tán các trình cài đặt .NET ảo hóa được thiết kế để triển khai phần mềm độc hại đánh cắp thông tin FormBook.

Giải mã phần mềm gián điệp SpyNote trên Android

13:00 | 31/10/2023

SpyNote là một phần mềm gián điệp trên Android với chức năng ghi nhật ký và đánh cắp nhiều loại thông tin, bao gồm tin nhắn SMS, thao tác bàn phím, cuộc gọi, bản ghi âm, theo dõi vị trí người dùng hay thông tin về các ứng dụng đã cài đặt. Đặc biệt, phần mềm độc hại này rất khó xóa bỏ trên Android. Bài viết tập trung phân tích các tính năng chính của Trojan SpyNote, dựa trên báo cáo từ công ty an ninh mạng F-Secure (Phần Lan) vừa được công bố mới đây.

Tin cùng chuyên mục

Giải mã biến thể mới của phần mềm độc hại Bandook

09:00 | 29/01/2024

Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.

Khám phá phiên bản cập nhật của phần mềm đánh cắp thông tin Atomic Stealer nhắm mục tiêu vào macOS

08:00 | 19/01/2024

Các nhà nghiên cứu an ninh mạng của hãng bảo mật Malwarebytes (Mỹ) đã xác định được phiên bản cập nhật của phần mềm đánh cắp thông tin trên macOS có tên là Atomic Stealer (hoặc AMOS), cho thấy các tác nhân đe dọa phát triển phần mềm độc hại này đang tích cực nâng cao khả năng của nó. Trong bài viết này sẽ xem xét những thay đổi mới nhất của Atomic Stealer và việc phân phối gần đây các quảng cáo độc hại thông qua công cụ tìm kiếm Google.

Phần mềm độc hại NKAbuse: Mối đe dọa mới với công nghệ Blockchain

08:00 | 12/01/2024

Trung tuần tháng 12, các nhà nghiên cứu của hãng bảo mật Kaspersky phát hiện một mối đe dọa đa nền tảng mới có tên là NKAbuse. Phần mềm độc hại này được viết bằng ngôn ngữ Golang, sử dụng công nghệ NKN (New Kind of Network) để trao đổi dữ liệu giữa các thiết bị mạng ngang hàng, được trang bị khả năng tạo backdoor và phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS), bên cạnh đó NKAbuse cũng có đủ sự linh hoạt để tạo các tệp nhị phân tương thích với nhiều kiến trúc khác nhau.

Cảnh báo chiến dịch tấn công nhắm vào các thiết bị USB an toàn

17:00 | 21/12/2023

Mới đây, nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky phát hiện một chiến dịch gián điệp mạng đang nhắm mục tiêu đánh cắp dữ liệu lưu trữ trên các thiết bị USB an toàn sử dụng trong các cơ quan, tổ chức chính phủ các nước Châu Á - Thái Bình dương (APAC).