Manuel Statik Analiz — HijackLoader MSI | Tehdit: ORTA
Dosya Kimliği
| SHA256 | c68ede993452947711912164b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c |
|---|---|
| Dosya Tipi | MSI (Windows Installer paketi) |
| Boyut | 11.912.164 byte (11.9MB) |
| String Sayisi | 54.232 (MSI tablo satırları dahil) |
Geliştirici Build Parmak İzi
C:\Users\owner\Desktop\OLU\1.2.35.3\Prj\Release_sp\SsUSetting.pdb -- \owner\ = geliştirici Windows kullanıcı adı "owner" (jenerik) -- \Desktop\OLU\ = masaüstü "OLU" proje klasörü -- 1.2.35.3 = detaylı versiyon numarası (build 35 tercih 3) -- \Prj\Release_sp\ = "Release Special" veya "Release_sp" build -- SsUSetting.pdb = "SsU" prefix + Setting → "SuperUser Setting"?
Anti-Debug: NtQueryInformationProcess
NtQueryInformationProcess -- NT API seviyesi debugger tespiti! GetTickCount -- zamanlama saldırısı IsDebuggerPresent -- kullanıcı modu debugger kontrolü -- NtQueryInformationProcess çok güçlü: kernel seviyesi kontrol -- ProcessDebugPort (7) sorgusuyla gizli debugger'ları da bulur -- 3 farklı katmanda anti-debug koruması
HijackLoader Hakkında
HijackLoader (IDAT Loader) 2023'te tespit edilen modüler loader'dır. DLL hijacking ve process hollowing ile AV atlatır. GhostLoader, LummaC2, DarkGate, SystemBC gibi aileler için birinci aşama loader olarak kullanılır. MSI paketi içine gizlenerek kurumsal güvenlik politikalarını atlatır.
IOC
| SHA256 | c68ede993452947711912164b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c |
|---|---|
| PDB | C:\Users\owner\Desktop\OLU\1.2.35.3\Prj\Release_sp\SsUSetting.pdb |
| Anti-Debug | NtQueryInformationProcess + GetTickCount + IsDebuggerPresent |
Hijackloader — Malware Profile
HijackLoader IDAT Loader 2023. MSI paket gizleme. NtQueryInformationProcess anti-debug. OLU 1.2.35.3 build.
Malware Type
Loader
Programming Language
C
C2 Protocol
HTTP
Target Systems
Windows
Also Known As (AKA)
IDAT Loader
Technical Details
Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (1 indicators)
IOC — HijackLoader
# IP
1.2.35.3
| Type | Value | Note |
|---|---|---|
| ip | 1.2.35.3 |