Manuel Statik Analiz — HijackLoader MSI | Tehdit: ORTA

Dosya Kimliği

SHA256c68ede993452947711912164b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c
Dosya TipiMSI (Windows Installer paketi)
Boyut11.912.164 byte (11.9MB)
String Sayisi54.232 (MSI tablo satırları dahil)

Geliştirici Build Parmak İzi

C:\Users\owner\Desktop\OLU\1.2.35.3\Prj\Release_sp\SsUSetting.pdb
-- \owner\ = geliştirici Windows kullanıcı adı "owner" (jenerik)
-- \Desktop\OLU\ = masaüstü "OLU" proje klasörü
-- 1.2.35.3 = detaylı versiyon numarası (build 35 tercih 3)
-- \Prj\Release_sp\ = "Release Special" veya "Release_sp" build
-- SsUSetting.pdb = "SsU" prefix + Setting → "SuperUser Setting"?

Anti-Debug: NtQueryInformationProcess

NtQueryInformationProcess  -- NT API seviyesi debugger tespiti!
GetTickCount               -- zamanlama saldırısı
IsDebuggerPresent          -- kullanıcı modu debugger kontrolü
-- NtQueryInformationProcess çok güçlü: kernel seviyesi kontrol
-- ProcessDebugPort (7) sorgusuyla gizli debugger'ları da bulur
-- 3 farklı katmanda anti-debug koruması

HijackLoader Hakkında

HijackLoader (IDAT Loader) 2023'te tespit edilen modüler loader'dır. DLL hijacking ve process hollowing ile AV atlatır. GhostLoader, LummaC2, DarkGate, SystemBC gibi aileler için birinci aşama loader olarak kullanılır. MSI paketi içine gizlenerek kurumsal güvenlik politikalarını atlatır.

IOC

SHA256c68ede993452947711912164b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c
PDBC:\Users\owner\Desktop\OLU\1.2.35.3\Prj\Release_sp\SsUSetting.pdb
Anti-DebugNtQueryInformationProcess + GetTickCount + IsDebuggerPresent

Hijackloader — Malware Profile

HijackLoader IDAT Loader 2023. MSI paket gizleme. NtQueryInformationProcess anti-debug. OLU 1.2.35.3 build.

Malware Type
Loader
Programming Language
C
C2 Protocol
HTTP
Target Systems
Windows
Also Known As (AKA)
IDAT Loader

Technical Details

Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — HijackLoader
# IP 1.2.35.3
TypeValueNote
ip 1.2.35.3
Tags
hijackloadermsi-loaderolu-1-2-35-3-buildssusetting-pdbowner-developerntqueryinformationprocess-anti-debug