Manuel Statik Analiz — HijackLoader MSI | Tehdit: MITTEL
Datei Kimliği
| SHA256 | c68ede993452947711912164b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c |
|---|---|
| Dateityp | MSI (Windows Installer paketi) |
| Größe | 11.912.164 byte (11.9MB) |
| String Sayisi | 54.232 (MSI tablo satırları dahil) |
Geliştirici Build Parmak İzi
C:\Users\owner\Desktop\OLU\1.2.35.3\Prj\Release_sp\SsUSetting.pdb -- \owner\ = geliştirici Windows kullanıcı adı "owner" (jenerik) -- \Desktop\OLU\ = masaüstü "OLU" proje klasörü -- 1.2.35.3 = detaylı versiyon numarası (build 35 tercih 3) -- \Prj\Release_sp\ = "Release Special" veya "Release_sp" build -- SsUSetting.pdb = "SsU" prefix + Setting → "SuperUser Setting"?
Anti-Debug: NtQueryInformationProcess
NtQueryInformationProcess -- NT API seviyesi debugger tespiti! GetTickCount -- zamanlama saldırısı IsDebuggerPresent -- kullanıcı modu debugger kontrolü -- NtQueryInformationProcess çok güçlü: kernel seviyesi kontrol -- ProcessDebugPort (7) sorgusuyla gizli debugger'ları da bulur -- 3 farklı katmanda anti-debug koruması
HijackLoader Hakkında
HijackLoader (IDAT Loader) 2023'te tespit edilen modüler loader'dır. DLL hijacking ve process hollowing ile AV atlatır. GhostLoader, LummaC2, DarkGate, SystemBC gibi aileler için birinci aşama loader olarak kullanılır. MSI paketi içine gizlenerek kurumsal güvenlik politikalarını atlatır.
IOC
| SHA256 | c68ede993452947711912164b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c |
|---|---|
| PDB | C:\Users\owner\Desktop\OLU\1.2.35.3\Prj\Release_sp\SsUSetting.pdb |
| Anti-Debug | NtQueryInformationProcess + GetTickCount + IsDebuggerPresent |
Hijackloader — Malware-Profil
HijackLoader IDAT Loader 2023. MSI paket gizleme. NtQueryInformationProcess anti-debug. OLU 1.2.35.3 build.
Malware-Typ
Loader
Programmiersprache
C
C2-Protokoll
HTTP
Zielsysteme
Windows
Auch bekannt als (AKA)
IDAT Loader
Technische Details
Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri
Fähigkeiten & Verhalten
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC-Liste (1 Indikatoren)
IOC — HijackLoader
# IP
1.2.35.3
| Typ | Wert | Bemerkung |
|---|---|---|
| ip | 1.2.35.3 |