Manuel Statik Analiz — HijackLoader MSI | Tehdit: MEDIO
Archivo Kimliği
| SHA256 | c68ede993452947711912164b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c |
|---|---|
| Tipo de archivo | MSI (Windows Installer paketi) |
| Tamaño | 11.912.164 byte (11.9MB) |
| String Sayisi | 54.232 (MSI tablo satırları dahil) |
Geliştirici Build Parmak İzi
C:\Users\owner\Desktop\OLU\1.2.35.3\Prj\Release_sp\SsUSetting.pdb -- \owner\ = geliştirici Windows kullanıcı adı "owner" (jenerik) -- \Desktop\OLU\ = masaüstü "OLU" proje klasörü -- 1.2.35.3 = detaylı versiyon numarası (build 35 tercih 3) -- \Prj\Release_sp\ = "Release Special" veya "Release_sp" build -- SsUSetting.pdb = "SsU" prefix + Setting → "SuperUser Setting"?
Anti-Debug: NtQueryInformationProcess
NtQueryInformationProcess -- NT API seviyesi debugger tespiti! GetTickCount -- zamanlama saldırısı IsDebuggerPresent -- kullanıcı modu debugger kontrolü -- NtQueryInformationProcess çok güçlü: kernel seviyesi kontrol -- ProcessDebugPort (7) sorgusuyla gizli debugger'ları da bulur -- 3 farklı katmanda anti-debug koruması
HijackLoader Hakkında
HijackLoader (IDAT Loader) 2023'te tespit edilen modüler loader'dır. DLL hijacking ve process hollowing ile AV atlatır. GhostLoader, LummaC2, DarkGate, SystemBC gibi aileler için birinci aşama loader olarak kullanılır. MSI paketi içine gizlenerek kurumsal güvenlik politikalarını atlatır.
IOC
| SHA256 | c68ede993452947711912164b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c |
|---|---|
| PDB | C:\Users\owner\Desktop\OLU\1.2.35.3\Prj\Release_sp\SsUSetting.pdb |
| Anti-Debug | NtQueryInformationProcess + GetTickCount + IsDebuggerPresent |
Hijackloader — Perfil del malware
HijackLoader IDAT Loader 2023. MSI paket gizleme. NtQueryInformationProcess anti-debug. OLU 1.2.35.3 build.
Tipo de malware
Loader
Lenguaje de programación
C
Protocolo C2
HTTP
Sistemas objetivo
Windows
También conocido como (AKA)
IDAT Loader
Detalles técnicos
Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri
Capacidades y comportamiento
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
Lista IOC (1 indicadores)
IOC — HijackLoader
# IP
1.2.35.3
| Tipo | Valor | Nota |
|---|---|---|
| ip | 1.2.35.3 |