新的HijackLoader变体能够规避检测,增强持久性 媒体
新型 HijackLoader 恶意软件的演变
关键要点
新版 HijackLoader 恶意软件利用先进的规避技术,提高其在系统中的持续性和隐蔽性。安全团队需要关注这种恶意软件所采用的标准过程空洞技术以及其新的触发机制。此恶意软件采取逐步构建的方式,有助于规避传统的防病毒产品检测。根据 CrowdStrike 在2月7日的博客文章,新的 HijackLoader 恶意软件变种正逐步采用一些高端的规避技术,这些技术增强了恶意软件在系统内的持久性和隐蔽性。恶意软件开发者结合了标准的进程空洞技术和一种新的触发方式,可能使得规避防御变得更为隐蔽。
CrowdStrike 的研究人员表示:“HijackLoader 正成为对手部署额外有效载荷和工具的热门工具,其开发者不断进行实验并增强其能力。”
随着安全团队及技术在识别和减轻已知威胁方面变得愈发精细,恶意软件创作者也在不断回应,采用越来越复杂的技术,使得模式识别变得更加困难。 Keeper Security 的安全架构副总裁Patrick Tiquet解释说:“HijackLoader 的新颖之处在于,它采取了一系列看似正常且无害的动作,随后再合成一个完全功能的恶意软件。这种缓慢的构建过程让它成功避开了基于特征的杀毒产品检测。通过延长不被发现的时间,恶意行为者能够实施更长时间的攻击,可能造成更大的损害并泄露敏感数据。”
Qualys 威胁研究部的威胁研究员 Mohammad Shabbir 表示,Qualys 团队自去年以来一直在密切关注此加载器,令人感到有趣的是,其背后的行为者非常紧密地遵循商业产品的发展和演变生命周期。“这简直就像他们有一个经验丰富的产品经理在掌舵,”Shabbir 说,“没有哪个季度会错过对 HijackLoader 的新规避技术引入。每一行新代码都试图在终端检测和响应EDR与杀毒产品之前保持领先。这也是为什么许多已知恶意软件家族趋向于使用它进行传播的原因。”
Zscaler 在 去年九月的一篇博客文章 中首次报道了 HijackLoader。 当时,Zscaler 的研究人员表示 HijackLoader 被用于加载不同的恶意软件家族,例如 Danabot、SystemBC 和 RedLine Stealer。他们还提到 HijackLoader 使用 “syscalls” 来规避安全产品的监控,基于嵌入式的阻止列表检测特定进程,并延迟代码执行。
clash apkmarkdown 恶意软件 使用的技术 特点 HijackLoader 进程空洞技术 持久性强,规避防病毒检测 Danabot 远程控制 可加载其他有效载荷 SystemBC 协议隧道 数据泄露和窃取 RedLine Stealer 信息窃取 针对敏感数据的攻击
为了抵御这些先进的威胁,安全团队需要不断跟进最新的技术发展,采用创新的方法来提升防御能力。
现代 CPU 安全性新威胁:CollidePower 攻击关键要点CollidePower 是一种新型侧信道攻击,几乎所有现代 CPU 都可能受到影响。该攻击可以通过利用共享 CPU 组件来窃取密码、加密密钥和其他敏感信息。CollidePower 攻击还存在两个变种,其中一个要求启用超线程。尽管攻...