Manuel Statik Analiz — HijackLoader | Tehdit: KRITIK

Dosya Kimliği

SHA256c68ede9934529477326cf0b02ac37516d6cfc8c2c4e8b1a5d3f7e0c2b6d9f4a7
TipWindows Installer MSI
Boyut11.912.164 byte (11.9MB)
String Sayisi54.232

Geliştirici PDB İzi

C:\Users\owner\Desktop\OLU\1.2.35.3\Prj\Release_sp\SsUSetting.pdb
-- Geliştirici: "owner" | Proje: OLU | Versiyon: 1.2.35.3
-- "SsUSetting" gizlenmiş ayarlar modülü adı

Kernel Anti-Debug

NtQueryInformationProcess  -- Kernel seviyesinde process bilgisi (debugger tespiti)
IsDebuggerPresent          -- User-mode debugger tespiti (çift referans)

HijackLoader Hakkında

HijackLoader (IDAT Loader), 2023'ten beri aktif loader ailesidir. Meşru MSI yükleyicisi görünümünde dağıtılır. Module stomping ve process hollowing teknikleri kullanır. IcedID, SystemBC ve Cobalt Strike gibi ikinci aşama yükleri indirir. Ağustos 2023'te siber güvenlik araştırmacıları tarafından keşfedilmiştir.

IOC

SHA256c68ede9934529477326cf0b02ac37516d6cfc8c2c4e8b1a5d3f7e0c2b6d9f4a7
PDBowner / OLU / SsUSetting 1.2.35.3

Hijackloader — Malware Profili

HijackLoader IDAT Loader 2023. MSI paket gizleme. NtQueryInformationProcess anti-debug. OLU 1.2.35.3 build.

Malware Tipi
Loader
Programlama Dili
C
C2 Protokolü
HTTP
Hedef Sistemler
Windows
Diğer Adlar (AKA)
IDAT Loader

Teknik Detaylar

Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri

Yetenekler ve Davranış

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC Listesi (1 gösterge)

IOC — HijackLoader
# SHA256 c68ede9934529477326cf0b02ac37516d6cfc8c2c4e8b1a5d3f7e0c2b6d9f4a7
TürDeğerNot
sha256 c68ede9934529477326cf0b02ac37516d6cfc8c2c4e8b1a5d3f7e0c2b6d9f4a7
Etiketler
hijackloadermsiflexerantqueryanti-debugpdb-ownerolu-project