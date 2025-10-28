Der Shellcode wird dann in vssapi.dll geladen, Dies ist die in der Konfiguration der Malware angegebene DLL. Dies geschieht, indem VirtualProtect() aufgerufen wird, um den Speicherschutz des .text-Abschnitts der DLL auf PAGE_EXECUTE_READWRITE zu ändern. Schließlich wird der Shellcode an diese schreibbare Adresse kopiert und der Ausführungsfluss darauf übertragen.

Der Shellcode fungiert als Loader, hasht aber zunächst laufende Prozessnamen im System und vergleicht sie mit den in der Malware-Konfiguration angegebenen Werten. Wenn eine Übereinstimmung gefunden wird, verwendet die Malware die NtDelayExecution () -API, um ihre eigene Ausführung zu stoppen.

Als Nächstes liest es den Inhalt von Plagkeg.zk. Der Inhalt dieser Datei ist eine weitere verschlüsselte Malware-Konfiguration und die Module von HijackLoader. Die Daten werden in mehrere Chunks aufgeteilt, wobei der erste Chunk die folgenden Informationen enthält:

Die Größe der verschlüsselten Daten

Marker („IDAT“)

Einen Wert (0xC6A579EA), der zur Überprüfung der Startbytes des Shellcodes verwendet wird

Den Schlüssel zur Entschlüsselung der Daten

Die nachfolgenden Chunks folgen dieser Struktur:

Die Größe des Shellcode-Abschnitts

Marker („IDAT“)

Die verschlüsselten Bytes

Um diese Chunks zusammenzusetzen, durchläuft HijackLoader die verschlüsselten Daten und sucht nach dem Muster"????IDAT", wobei die Fragezeichen als Platzhalter dienen. Sobald eine Übereinstimmung gefunden wurde, wird geprüft, ob die vier Byte, die unmittelbar auf das Muster folgen, 0xC6A579EA entsprechen. Dies bestätigt, dass der erste Chunk gefunden wurde, was wichtig ist, da er die Gesamtgröße des Shellcodes und den Entschlüsselungsschlüssel enthält. Wenn der Wert übereinstimmt, speichert HijackLoader die Shellcode-Bytes in einem Puffer. Der Prozess wird für alle folgenden Chunks wiederholt, wobei deren Shellcode-Bytes demselben Puffer hinzugefügt werden, bis keine weiteren passenden Muster gefunden werden.

Sobald dies erledigt ist, wird der Puffer mit dem verschlüsselten Shellcode mit einer XOR-Chiffre entschlüsselt und dann mit dem LZNT1-Algorithmus dekomprimiert. Das Ergebnis ist eine Struktur, die verschiedene Informationen enthält, wie die endgültige schädliche Nutzlast, die Modulstruktur usw.

Malware-Phase 3: ti64 - Hauptmodul

Die Funktionalität von HijackLoader ist in Module unterteilt. Einige enthalten ausführbaren Code, andere sind lediglich Informationen, die zu Referenzzwecken dienen. Ein Beispiel dafür ist das COPYLIST-Modul , das die Liste der Dateinamen enthält, die mit dieser Variante von HijackLoader verbunden sind. Laut dem Bericht von Trellix unterstützen einige Varianten von HijackLoader bis zu 40 Module, aber die für diesen Bericht analysierte Stichprobe unterstützt nur 35. Nicht alle Module werden ausgeführt, und ihre Verwendung hängt von in der Malware-Konfiguration festgelegten Flags ab.

In der folgenden Tabelle sind die Namen der einzelnen Module und ihr Zweck zusammengefasst:

HijackLoader durchläuft diese Strukturen und wandelt jeden Modulnamen mithilfe eines benutzerdefinierten Algorithmus in einen Hash um. Sobald die Übereinstimmung für das Modul „ti64“ gefunden wurde, wird ein Zeiger auf den Code des Moduls berechnet, indem der Offset der Daten zum Anfang des Moduldatenarrays addiert wird. Dieser Zeiger wird dann zurückgegeben und als Referenz auf den Shellcode von „ti64“ verwendet.

Anschließend führt die Malware eine weitere DLL-Hollowing-Operation durch, um den Shellcode des „ti64“-Moduls einzuschleusen. Das Ziel ist eine DLL, die in der zuvor entschlüsselten Konfiguration angegeben wurde, in diesem Fall pla.dll.