その後、シェルコードがvssapi.dllにロードされます。これはマルウェアの設定で指定されているDLLです。これは、VirtualProtect()を呼び出して、DLLの.textセクションのメモリ保護をPAGE_EXECUTE_READWRITEに変更することによって実現されます。最後に、シェルコードがこの書き込み可能なアドレスにコピーされ、実行フローがそこに転送されます。

シェルコードはローダーとして機能しますが、まずシステム内で実行中のプロセス名をハッシュし、マルウェアの設定で指定された値と比較します。一致が見つかった場合、マルウェアはNtDelayExecution() APIを使用して自身の実行を停止します。

次に、Pragkeg.zkのコンテンツを読み取ります。このファイルの内容は、別の暗号化されたマルウェア設定とHijackLoaderのモジュールです。データは複数のチャンクに分割され、最初のチャンクには次の情報が含まれます。

暗号化データのサイズ

マーカー（「IDAT」）

シェルコードの開始バイトをチェックするために使用される値（0xC6A579EA）

データを復号するキー

後続のチャンクは、この構造に従います。

シェルコード・チャンクのサイズ

マーカー（「IDAT」）

暗号化されたバイト

これらのチャンクを組み立てるために、HijackLoaderは暗号化されたデータを反復処理して「????IDAT」パターンを検索します。このパターンでは、質問マークがワイルドカードとして機能します。一致が見つかると、パターンのすぐ後の4バイトが0xC6A579EAに等しいかどうかを確認します。これにより、最初のチャンクが見つかったことを確認します。これは、シェルコードの合計サイズと復号キーが含まれているため、重要です。値が一致する場合、HijackLoaderはシェルコードのバイトをバッファーに格納します。このプロセスは、一致するパターンがなくなるまで、シェルコードのバイトが同じバッファーに追加されながら、後続のすべてのチャンクに対して繰り返されます。

その後、暗号化されたシェルコードを含むバッファーは、XOR暗号を使用して復号化され、LZNT1アルゴリズムを使用して解凍されます。その成果は、最終ペイロードやモジュール構造などのさまざまな情報を含む構造です。

マルウェア・ステージ3：ti64 - メイン・モジュール

HijackLoaderの機能はモジュールに分かれています。実行可能なコードが含まれているものもあれば、単に参照に使用される情報であることもあります。その一例がCOPYLISTモジュールで、このモジュールにはHijackLoaderのこの亜種に関連するファイル名のリストが含まれています。Trellixの報告によると、HijackLoaderの一部の亜種は最大40モジュールをサポートしていますが、本レポートで分析されたサンプルは35モジュールのみをサポートしています。すべてのモジュールが実行されるわけではなく、その使用はマルウェア構成で指定されたフラグによって異なります。

以下の表は、各モジュールの名前とその目的をまとめたものです。

HijackLoaderはこれらの構造をループ処理し、カスタムアルゴリズムを使用して各モジュール名をハッシュに変換します。「ti64」モジュールの一致が見つかると、モジュール・データ配列のベースにデータのオフセットを追加することで、モジュールのコードへのポインターが計算されます。このポインターは返され、「ti64」のシェルコードへの参照として使用されます。

次に、マルウェアは別のDLLホロウイング操作を実行して、「ti64」モジュールのシェルコードを挿入します。ターゲットは、以前に復号化された構成で指定されたDLL（この場合はpla.dll）です。