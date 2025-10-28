然后，会将 shellcode 加载到 vssapi.dll 中，即恶意软件配置中指定的 DLL。此操作是通过调用 VirtualProtect() 以将 .text 部分的内存保护更改为 PAGE_EXECUTE_READWRITE 来实现的。最后，会将 shellcode 复制到此可写地址，并将执行流程转移到该地址。

shellcode 将充当加载器，但首先，它会对系统中正在运行的进程名称进行哈希处理，并将其与恶意软件配置中指定的值进行比较。如果找到匹配项，恶意软件会使用 NtDelayExecution() API 来暂停自身的执行。

接下来，它会读取 Plagkeg.zk 的内容。该文件的内容是另一个加密后的恶意软件配置以及 HiJackLoader 的模块。此数据将拆分为多个区块，且初始区块包含以下信息：

加密后的数据的大小

标记点（“IDAT”）

用于检查 shellcode 起始字节的值 (0xC6A579EA)

用于解密该数据的密钥

后续区块遵循以下结构：

shellcode 区块的大小

标记点（“IDAT”）

加密后的字节

为了组装这些区块，HijackLoader 会循环访问用于搜索“????IDAT”模式的加密后的数据，而其中的问号将充当通配符。找到匹配项后，它会检查紧随此模式之后的四个字节是否等于 0xC6A579EA。此操作可确认初始区块已找到，而这一点非常重要，因为它包含 shellcode 的总大小和解密密钥。如果该值匹配，HijackLoader 便会将 shellcode 字节存储到缓冲区中。此流程将对所有后续区块重复执行，而其 shellcode 字节将附加到同一缓冲区，直至找不到更多匹配的模式。

完成后，会使用 XOR 密码对包含加密 shellcode 的缓冲区进行解密，然后使用 LZNT1 算法进行解压缩。如此便可形成一个包含各种信息的结构，例如最终有效负载、模块结构等。

恶意软件第 3 阶段：ti64 - 主模块

HijackLoader 的功能会划分为多个模块。有些模块包含可执行代码，而另一些则仅用作参考信息。其中一个示例是 COPYLIST 模块，其中包含与该 HijackLoader 变体相关的文件名的列表。根据 Trellix 的报告，HijackLoader 的某些变体支持多达 40 个模块，但本报告分析的样本仅支持 35 个。并非所有模块都会执行，而它们的使用取决于恶意软件配置中指定的标志。

下表总结了每个模块的名称及其用途：

HijackLoader 会对这些结构进行循环，并使用自定义算法将每个模块名称转换为哈希值。一旦找到与“ti64”模块匹配的模块，它就会将此数据的偏移量加到模块数据数组的基数上，从而计算出指向模块代码的指针。然后，会返回此指针并将其用作对“ti64”shellcode 的引用。

接下来，恶意软件会执行另一个 DLL 空化操作，以注入“ti64”模块的 shellcode。其目标是先前已解密配置中指定的 DLL，而它在本例中为 pla.dll。