HijackLoader加载器的全面分析——典型加载器家族系列分析四

2.1 混淆技术分析

HijackLoader拥有两种隐藏方式将其配置文件隐藏为图片。第一种方式为将配置文件隐藏为图片的像素，并通过特定的序列确定配置文件的起始位置。

图2-1 配置文件起始序列寻找方式

第二种方式为从资源文件中加载图片，并从图片末端获取附加的数据，将附加的数据拼接后解密解压即可获取配置文件。

图2-2 HijackLoader第二种解密配置文件代码

2.2 注入技术分析

虽然HijackLoader拥有众多参数影响注入的逻辑，但大体可分为两种情况：在自身进程中运行载荷和在其他进程中运行载荷。当HijackLoader决定在其他进程中运行载荷时，向目标进程注入rshell模块以辅助完成运行载荷的工作。

图2-3 代码注入流程图

2.3 持久化技术分析

HijackLoader拥有两种持久化方式，分别为通过在启动目录创建快捷方式实现持久化和创建服务实现持久化。当通过创建服务实现持久化时还可以设置两种不同的触发器：用户登录时触发和固定时间间隔触发。

图2-4 HijackLoader部分持久化逻辑

2.4 反虚拟机分析

HijackLoader的反虚拟机技术分为三个方面：检测cpuid指令执行速度，检测cpuid特定字段和检测计算机内存、CPU数量等计算机基础信息。当其中任意一项不满足条件时，HijackLoader将停止运行。

图2-5 HijackLoader检测虚拟机信息

表4-1 HijackLoader样本标签

4.2 HijackLoader加载器第一阶段

在第一阶段，HijackLoader会解密第二阶段载荷，并将其覆盖到HijackLoader第一阶段的代码段中，随后调用第二阶段代码入口点执行。

图4-1 HijackLoader解密执行第二阶段代码

4.3 HijackLoader加载器第二阶段

在第二阶段，HijackLoader会检测系统中是否存在AVG和Avast，如果存在则延迟30秒执行后续逻辑。

图4-2 HijackLoader检测反病毒程序并延迟执行

随后HijackLoader会根据第一阶段参数加载配置文件。

图4-3 HijackLoader选择配置文件加载方式

如果选用方式1进行解密，HijackLoader会从文件中搜索符合大小的PNG文件，并对其进行解密。

图4-4 HijackLoader搜索包含配置文件的图片

随后HijackLoader获取像素的RGB信息，并将其保存为字节数组。HijackLoader在字节数组中通过计算序列片段的CRC-32值寻找配置文件起始位置，并获取配置文件大小和异或密钥，解密配置。

图4-5 HijackLoader使用方式1解密配置文件

当使用方式2解密图片数据时，HijackLoader会搜索图片序列，并从图片尾部的附加数据中获取配置文件，随后进行解密，并在后续使用LZNT1算法进行解压。

图4-6 HijackLoader使用方式2解密配置文件

当HijackLoader从网络下载配置文件时，HijackLoader会从配置中读取URL数组并下载数据，并根据数据的内容选择使用方式1或方式2解密配置。

图4-7 HijackLoader下载配置文件

其中HijackLoader在配置文件中携带了如下载荷及模块：

表4-2 HijackLoader携带载荷列表

当HijackLoader解密配置文件后，会从配置文件中搜索名为ti64的模块，并将ti64模块数据覆盖到shell32代码段，调用ti64模块进入HijackLoader第三阶段。

图4-8 HijackLoader运行ti64模块

4.4 HijackLoader加载器第三阶段

在HijackLoader第三阶段，HijackLoader会从ntdll中搜索Zw开头的系统函数，并记录系统调用号、函数名称、函数地址，供后续调用。

图4-9 HijackLoader搜索并保存系统调用号

HijackLoader会通过CreateFileMappingW和MapViewOfFile函数加载ntdll，并通过新ntdll调用部分函数，以避免敏感函数被hook。

图4-10 HijackLoader加载新ntdll

HijackLoader还会对原有的ntdll进行unhook操作，首先HijackLoader会在内存中加载一份ntdll，但是HijackLoader会使用系统中原有的ntdll基址对其进行重定向操作，以使新ntdll在内存布局中与系统原有的ntdll保持一致。

图4-11 HijackLoader对手动加载的ntdll进行重定向操作

随后HijackLoader会比较手动加载的ntdll函数与原有ntdll函数是否相同，如果不同则对其进行覆盖实现unhook操作。

图4-12 HijackLoader对原有ntdll进行unhook操作

HijackLoader会读取配置文件ANTIVM中的数据以检测虚拟机，避免在虚拟机中运行。

图4-13 HijackLoader检测虚拟机

HijackLoader会从第二阶段解密的载荷中搜索MUTEX配置文件，并根据配置创建互斥量。

图4-14 HijackLoader创建互斥量

如果存在特定配置，HijackLoader则会使用modUAC模块进行提权。

图4-15 HijackLoader检测进程权限并尝试提权

如果存在特定配置，HijackLoader将会通过创建新桌面的方式来隐藏被注入的进程。

图4-16 HijackLoader创建新桌面隐藏被注入进程

之后HijackLoader会根据配置文件，选择后续代码的执行方式。当配置文件存在特定标记位且未检测到卡巴斯基时，HijackLoader会直接在当前进程中执行第四阶段逻辑。

图4-17 HijackLoader在当前进程中执行后续逻辑

如上述条件不满足，则HijackLoader会向Windows系统工具more.com中注入shellcode执行第四阶段。

图4-18 HijackLoader注入Windows系统工具more.com

如果存在特定配置文件并且系统中存在Avast或AVG，HijackLoader会通过ESLDR64模块用劫持主进程的方式将shellcode注入more.com进程中，执行第四阶段。

图4-19 ESLDR64注入shellcode到目标程序

如果上述条件仍不满足，HijackLoader会在当前模块中向more.com注入shellcode执行第四阶段逻辑。在完成注入后，HijackLoader会向more.com的管道写入字符，使其退出因读取标准输入流而导致的阻塞状态，以运行shellcode。

图4-20 HijackLoader执行shellcode

在执行shellcode时，HijackLoader有与ti模块相同的unhook流程。此外，HijackLoader还会根据配置文件设置，挂起自身程序中的其他线程。随后在shellcode中执行HijackLoader第四阶段逻辑。

图4-21 HijackLoader挂起自身程序中的其他线程

4.5 HijackLoader加载器第四阶段

在第四阶段，HijackLoader会检测系统上运行的反病毒程序，并根据其配置影响后面持久化和注入的行为。其中已知检测的反病毒程序如下：

表4-3 HijackLoader检测的反病毒程序

随后HijackLoader会根据配置判断是否移动自身路径，如果移动自身则会尝试使用BackgroundCopyManager和CopyFileW进行复制。

图4-22 HijackLoader移动自身到目标路径

随后HijackLoader会选择持久化方式，并尝试通过创建服务或在启动目录创建快捷方式实现持久化。最后HijackLoader会根据配置进行自删除行为。

图4-23 HijackLoader持久化操作

在创建服务实现持久化时，HijackLoader将调用modTask模块。该模块可以根据配置文件设置在用户登录时触发。

图4-24 modTask模块创建计划任务

也可以根据配置文件通过固定时间间隔触发计划任务。

图4-25 modTask模块的另一个创建计划任务实现

该模块在调用CoInitialize、CoCreateInstance等敏感函数时，会调用TinycallProxy模块以对抗栈回溯。

图4-26 modTask模块调用TinycallProxy模块以对抗栈回溯

TinycallProxy模块用于间接调用目标函数。HijackLoader会将TinycallProxy模块覆盖到某个dll的代码段中，并将调用的目标函数和参数传入TinycallProxy模块，再由TinycallProxy模块调用目标函数。

图4-27 TinycallProxy模块调用目标函数

在TinycallProxy调用目标函数过程中，会伪装函数的返回地址，以对抗栈回溯。

图4-28 TinycallProxy模块覆盖函数返回地址对抗栈回溯

在完成持久化后，HijackLoader会解密并运行要投递的载荷，其中根据载荷类型和配置的不同HijackLoader有3种运行载荷的方式。

（1）目标载荷投递方式一

当载荷为dll时，HijackLoader会根据配置载入一个目标dll或使用默认的msi.dll，其地址空间用于写入要投递的载荷。随后HijackLoader会根据安装的反病毒软件，按需破坏载荷的IMAGE_SECTION_HEADER，以干扰反病毒程序对其进行检测。

图4-29 HijackLoader破坏IMAGE_SECTION_HEADER结构

随后调用dll入口点运行目标载荷。

图4-30 HijackLoader运行要投递的目标载荷

当目标程序为exe且配置文件中指示投递方式的值小于3时，载荷运行方式与dll大致相同，但在调用程序入口点时略有差异。

此时HijackLoader会先修改载荷OptionalHeader中的ImageBase以及Peb中的ImageBaseAddress地址，将其赋值为实际载荷所在的基址。

图4-31 HijackLoader修改程序基址信息

随后通过ESAL模块清除HijackLoader数据并调用载荷的入口点。

图4-32 ESAL模块清理HijackLoader代码并调用目标载荷入口点

（2）目标载荷投递方式二

当配置文件中指示投递方式的值等于3时，HijackLoader根据下列规则选择注入的目标程序。当具有特定的反病毒软件时，HijackLoader会创建与当前相同的进程用于执行目标载荷。否则，如果配置文件中具有CUSTOMINJECT文件，则HijackLoader会创建CUSTOMINJECT作为执行目标载荷的进程。否则，如果目标载荷为.NET程序，则HijackLoader会根据.NET版本选择MSBuild.exe作为执行目标载荷的进程。否则，如果目标载荷为32位进程，则HijackLoader会从配置文件中解压FIXED程序作为执行目标载荷的进程。否则，HijackLoader会使用explorer.exe作为执行目标载荷的进程。

图4-33 HijackLoader选择注入目标

其中FIXED为一个VMware相关的应用程序，具有有效的数字签名。

图4-34 HijackLoader用于注入的FIXED程序

而CUSTOMINJECT为AutoIt相关应用程序，同样具有有效的数字签名。

图4-35 HijackLoader用于注入的CUSTOMINJECT程序

之后HijackLoader可以通过多种方式将rshell模块和目标载荷加载到目标进程中，并通过rshell模块去运行目标载荷。

如果HijackLoader将目标载荷和rshell都注入目标程序时，rshell只进行unhook操作，随后调用载荷入口点来运行目标载荷。

图4-36 rshell模块调用目标载荷入口点

否则HijackLoader只会注入rshell，并通过rshell读取配置文件，从中加载并运行目标载荷。

图4-37 rshell模块加载并运行最终载荷

当由HijackLoader选择将目标载荷和rshell都注入目标程序时，HijackLoader拥有3种注入手段：

①将rshell作为目标载荷的dat节加入其中，并将其写入到硬盘上，通过ZwCreateSection与ZwMapViewOfSection将其映射进目标进程内存中，最后通过rshell运行载荷并通过事务回滚删除文件。

图4-38 HijackLoader通过将rshell作为目标载荷的一部分映射进内存

②将目标载荷映射进内存，随后使用ZwWriteVirtualMemory将rshell写入目标进程内存。

图4-39 HijackLoader将rshell和载荷分别写入内存

③直接使用ZwWriteVirtualMemory将载荷和rshell写入目标进程内存。

图4-40 HijackLoader直接将rshell和载荷写入内存

HijackLoader在与rshell传参的过程中仍然有两种手段：

①将参数写入临时文件，并通过全局变量传递文件路径进行传参。

图4-41 HijackLoader使用临时文件向rshell传参

②通过patch rshell代码来向rshell进行传参。

图4-42 HijackLoader通过patch rshell进行传参

在完成代码注入和传参后，HijackLoader仍然有两种手段运行rshell：

①直接ZwResumeThread运行rshell线程。

②通过ESWR模块来间接运行rshell，当通过ESWR模块运行rshell时，该模块还会完成HijackLoader的清理工作。

图4-43 ESWR模块运行rshell

在执行rshell后，HijackLoader可以根据配置用随机数据填充进程的PE头，以干扰反病毒程序对其进行检测。

图4-44 HijackLoader覆盖进程PE头

（3）目标载荷投递方式三

当配置文件中指示投递方式的值等于4时，HijackLoader会先在当前进程手动加载好目标载荷，随后复制到目标进程中运行。

图4-45 HijackLoader使用方式4加载载荷

最终根据运行时构造的URL字符串确定投递的载荷为Lumma Stealer。

图4-46 Lumma Stealer内存dump数据

图6-1 技术特点对应ATT&CK的映射

具体ATT&CK技术行为描述表：

表6-1 ATT&CK技术行为描述表

ATT&CK阶段/类别	具体行为	注释
持久化	利用自动启动执行引导或登录	HijackLoader在开始目录下创建快捷方式实现持久化
	利用计划任务/工作	HijackLoader通过创建服务实现持久化
防御规避	规避调试器	HijackLoader对ntdll进行unhook处理
		HijackLoader使用MapViewOfFile加载的ntdll调用敏感函数
	隐藏行为	当存在特定反病毒软件时HijackLoader会延迟执行一段时间
		HijackLoader具有多种写入、执行最终载荷方式以规避检测
		HijackLoader通过TinycallProxy模块对抗栈回溯
	删除信标	HijackLoader注入后可以破坏PE头以避免检测
		HijackLoader注入后可以破坏节区表以避免检测
		HijackLoader执行后清理自身内存
	混淆文件信息	HijackLoader将配置文件伪装成图片进行存储
	虚拟化/沙箱逃逸	HijackLoader检测虚拟机

07

 安天智甲助力用户防御加载器威胁

经过测试，安天智甲终端安全系列产品（以下简称“智甲”）依托安天自研威胁检测引擎和内核级主动防御能力，可以有效查杀和防御本次发现病毒样本。

智甲可对本地磁盘进行实时监测，对新增文件自动化进行病毒检测。针对此次威胁，当用户通过接收邮件附件、微信传输、网络下载等方式将HijackLoader加载器存储至本地时，智甲会立即对该病毒进行告警并清除恶意文件，防止用户启动文件导致终端遭受攻击。

图7-1 发现病毒时，智甲第一时间捕获并发送告警

除此之外，智甲还可以通过主动防御功能发现可疑的启动项创建行为，在持久化阶段拦截程序行为阻止后续的恶意攻击动作。

图7-2 发现异常启动项创建行为立即拦截

智甲还为用户提供统一管理平台，管理员可通过平台集中查看网内威胁事件详情，并批量进行处置，提高终端安全运维效率。

图7-3 智甲管理中心助力管理员实现高效的终端安全管理

 附录：安天澜砥威胁检测分析垂直大模型自动化分析结果

安天澜砥威胁检测分析垂直大模型能对样本进行自动化分析，部分解析内容如下：

判定结论： 根据提供的日志，分析工具判定该文件为Trojan.Win32.SpyBind[FakeAV]，即一个伪装为系统类库的特洛伊木马。该判定结果具有较高的准确性，评估准确度约为 95%。 详细解释： 1.特征匹配： o字符串匹配： §日志中出现大量类似于"D:\path\to\file.dll"或"C:\path\to\file.dll"的路径匹配，表明该文件可能被注入到系统中，进行恶意操作。 §出现了多个可疑字符串，如"\x89\x8A\x4C\x61\x62\x6C\x65\x4A\x6F\x6F\x6F\x4A\x6F\x6F\x6F"等，可能涉及类定义或函数调用，暗示该文件可能包含动态链接库或自定义的API调用。 o函数调用和API调用： §日志中多次出现"LoadLibraryA", "GetProcAddress", "VirtualAllocEx", "WriteProcessMemory"等API调用，这些函数常被用于注入恶意代码或修改系统内存，是恶意软件常用的机制。 §出现了多个可疑函数调用，表明该文件可能包含对这些API的调用，以实现恶意行为。 o文件特征： §日志显示文件大小为9,911,696 字节，大文件通常用于隐藏恶意行为或加载更多的恶意代码。 §出现了多个未被选中作为特征的字符串（以??表示），可能表示这些字符串在分析过程中未被识别或被过滤。 2.代码混淆和隐藏： o混淆代码： §多处出现混淆的代码片段，如"xA0x34x86x32x68x74x74x70x3Ax2Fx2Fx6Fx63x73x70x2Ex64x69x67x69x63x65x72x74x2Ex63x6Fx6D"，这可能表示代码经过混淆，试图隐藏其真实意图，规避检测。 o代码加密或压缩： §出现了加密或压缩的代码块，如"x89\x8A\x4C\x61\x62\x6C\x65\x4A\x6F\x6F\x6F\x4A\x6F\x6F\x6F"，可能表示代码经过加密或压缩，以增加分析难度。 3.行为模式： o异常的系统调用： §出现了多个异常的系统调用，如"RegSetValueExA", "WritePrivateProfileStringA", "CreateRemoteThread"等，这些函数常被用于注册表修改、写入配置文件和创建远程线程，是恶意软件常用的行为模式。 o动态链接库加载： §多次出现"LoadLibraryA", "GetProcAddress"等函数调用，表明该文件可能包含动态链接库或自定义的API调用，可能加载其他恶意模块或动态代码。 4.文件结构和内容特征： o重复或异常的字节序列：

按照国标草案给出威胁分类为Trojan.Win32.SpyBind，自动提取特征生成的YARA规则如下：

rule Trojan.Win32.SpyBind:Trojan {

      meta:

            description = "这是一段由 VILLM V2 模型生成的 YARA 规则。用于检测Trojan.Win32.SpyBind"

       strings:

             $a = {65 48 8b 04 25 60 00 00 00}

             $b = {48 8b 48 18 48 83 c1 10}

             $c = {4d 8d 40 01 66 0f 47 ca 43 0f b7 14 43 0f b7 c1 44 03 c8}

             $d = {8b b4 38 88 00 00 00 48 03 f7 44 8b 56 20 8b 5e 18 4c 03 d7}

             $e = {8b 46 24 8b 4e 1c 48 03 c7 48 03 cf 42 0f b7 14 58 44 8b 34 91 4c 03 f7}

             $f = {73 21 49 63 d0 42 8b 0c 0a 41 03 ca 89 0c 1a}

        condition:

              all of them

}

安天澜砥威胁检测分析垂直大模型是国内首个通过国家网信办备案的威胁检测生成式算法。模型基于安天赛博超脑20余年积累的海量样本特征工程数据训练而成，训练数据包括文件识别信息、判定信息、属性信息、结构信息、行为信息、主机环境信息、数据信息等，支持对不同场景下向量特征进行威胁判定和输出详实的知识理解，形成应用不同需求和场景的多形态的检测方式，提升后台隐蔽威胁判定能力，进一步为安全运营赋能。

图安天澜砥威胁检测分析垂直大模型样本分析结果