2023年の9月に活動開始が確認されていたマルウェアの一つに、HijackLoaderがあります。
このマルウェアは話題となっていましたが、当時はコードの品質はそこまで高くありませんでしたし、シェアもそこまで高くありませんでした。
しかし、時間の経過とともに、状況は変化してきています。
最近のHijackLoaderでは多くの点に変更が実施されていますが、特に回避技術の実装追加の部分に注目が集まっています。
- Hook Bypass: Heaven’s Gate and Unhooking
Heaven’s Gateは、回避手法です。
32ビットアプリとして実装されたコードを実行する際には、WoW64という機構が利用されコードが読み込まれて動作します。
この動作を監視することで、セキュリティ製品はマルウェアの活動開始を補足しようとします。
これを回避するためにとられる手法の1つに、Heaven’s Gateがあります。
HijackLoaderはHeaven’s Gateを使用してユーザーモードフックをバイパスするいくつかの回避機構を実行し、後続のシェルコードをcmd.exeに挿入します。 - Transacted Hollowing (Transacted Section/Doppelgänger + Hollowing)
これは、もう一つの検出回避機構です。
マルウェアのコードをメモリに配置する際に、他の実行中のプロセスのメモリ空間に配置することを選択する場合があります。
プロセスの空洞化です。
このTransacted Hollowingでは、プロセスのTransacted Sectionが利用されます。
Transacted Sectionに置かれたもともとの機構が保持された状態を作り、悪意ある機構の動作をTransacted Sectionのロールバックで実現するという動きをします。
これにより、マルウェアの静的解析が困難な状態となります。
マルウェアの回避技術は日々実装が進んでいきます。
防御側の取り組みも、日々改善していくことが必要ということに思えます。
参考記事(外部リンク):HijackLoader Expands Techniques to Improve Defense Evasion
www.crowdstrike.com/blog/hijackloader-expands-techniques/
| この記事をシェア |
|
|---|
![APIキーや認証情報といった機密情報を<br>管理・保管するためのベストプラクティス<br>[クイックリファレンス(PDF形式)付き]](https://constella-sec.jp/wp-content/uploads/2021/10/20W22-BLOG-Banner-BestPractices-Final@2x.png)