Manuel Statik Analiz — HijackLoader MSI | Tehdit: MEDIO

Archivo Kimliği

SHA256c68ede993452947711912164b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c
Tipo de archivoMSI (Windows Installer paketi)
Tamaño11.912.164 byte (11.9MB)
String Sayisi54.232 (MSI tablo satırları dahil)

Geliştirici Build Parmak İzi

C:\Users\owner\Desktop\OLU\1.2.35.3\Prj\Release_sp\SsUSetting.pdb
-- \owner\ = geliştirici Windows kullanıcı adı "owner" (jenerik)
-- \Desktop\OLU\ = masaüstü "OLU" proje klasörü
-- 1.2.35.3 = detaylı versiyon numarası (build 35 tercih 3)
-- \Prj\Release_sp\ = "Release Special" veya "Release_sp" build
-- SsUSetting.pdb = "SsU" prefix + Setting → "SuperUser Setting"?

Anti-Debug: NtQueryInformationProcess

NtQueryInformationProcess  -- NT API seviyesi debugger tespiti!
GetTickCount               -- zamanlama saldırısı
IsDebuggerPresent          -- kullanıcı modu debugger kontrolü
-- NtQueryInformationProcess çok güçlü: kernel seviyesi kontrol
-- ProcessDebugPort (7) sorgusuyla gizli debugger'ları da bulur
-- 3 farklı katmanda anti-debug koruması

HijackLoader Hakkında

HijackLoader (IDAT Loader) 2023'te tespit edilen modüler loader'dır. DLL hijacking ve process hollowing ile AV atlatır. GhostLoader, LummaC2, DarkGate, SystemBC gibi aileler için birinci aşama loader olarak kullanılır. MSI paketi içine gizlenerek kurumsal güvenlik politikalarını atlatır.

IOC

SHA256c68ede993452947711912164b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c
PDBC:\Users\owner\Desktop\OLU\1.2.35.3\Prj\Release_sp\SsUSetting.pdb
Anti-DebugNtQueryInformationProcess + GetTickCount + IsDebuggerPresent

Hijackloader — Perfil del malware

HijackLoader IDAT Loader 2023. MSI paket gizleme. NtQueryInformationProcess anti-debug. OLU 1.2.35.3 build.

Tipo de malware
Loader
Lenguaje de programación
C
Protocolo C2
HTTP
Sistemas objetivo
Windows
También conocido como (AKA)
IDAT Loader

Detalles técnicos

Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri

Capacidades y comportamiento

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

Lista IOC (1 indicadores)

IOC — HijackLoader
# IP 1.2.35.3
TipoValorNota
ip 1.2.35.3
Etiquetas
hijackloadermsi-loaderolu-1-2-35-3-buildssusetting-pdbowner-developerntqueryinformationprocess-anti-debug