HttpTroy Backdoor
Свързан със Северна Корея актьор, проследен като Кимсуки, е бил наблюдаван да инсталира невиждан досега заден ход, проследен като „HttpTroy“, срещу една цел в Южна Корея. Разкритието не включва времева линия, но изследователите съобщават, че проникването е започнало с внимателно изработен фишинг пакет, който се е представял за VPN фактура, за да подмами жертвата да отвори злонамерения архив.
Съдържание
Доставка и първоначално изпълнение
Инфекцията започна със ZIP архив, който се представяше за фактура за VPN оборудване. Вътре имаше SCR файл на Windows, който при изпълнение стартираше автоматизирана триетапна верига за изпълнение. Първият етап е малък дропер, реализиран като двоичен файл на Golang. Този дропер съдържа три вградени ресурса, единият от които е доброкачествен PDF файл, показван на потребителя като примамка, така че злонамерената активност да протича незабелязано във фонов режим.
Веригата за изпълнение
- Малък Golang dropper (съдържа вграден PDF файл с примамка и други полезни товари)
- Компонент за зареждане с име MemLoad
- Финална DLL задна вратичка, наречена HttpTroy
Устойчивост и поведение на зареждащия механизъм
Зареждащата програма, MemLoad, работи едновременно с дропа и обработва постоянството и разполагането на полезния товар. Той създава планирана задача с име „AhnlabUpdate“ – очевиден опит да се имитира AhnLab, за да се намали подозрението – и използва тази задача, за да гарантира, че задната вратичка се зарежда непрекъснато. MemLoad е отговорен и за декриптирането и инжектирането на DLL задната вратичка в пространството на хост процеса за изпълнение.
Възможности, предоставяни от задната вратичка
- Качване и изтегляне на произволни файлове към/от хоста на жертвата
- Заснемане на екранни снимки на работния плот
- Изпълнявайте команди с повишени привилегии и създавайте обратни шелове
- Зареждане и изпълнение на изпълними файлове директно в паметта (безфайлово изпълнение)
- Прекратяване на процеси и премахване на следи от активност
Командно-контролно и мрежово поведение
HttpTroy комуникира със своя контролер чрез обикновен HTTP, като изпраща POST заявки към C2 домейн, идентифициран като load.auraria.org. Използването на HTTP POST смесва мрежовия трафик с нормалния уеб трафик, освен ако не е специално профилирано.
Техники за анти-анализ и обфускация
Имплантът използва няколко пластови мерки за обфускация, за да осуети статичния анализ и откриването на подписи. Вместо твърдо кодиране на имена и низове на API, той скрива API извиквания чрез персонализирани хеш рутини и прикрива текстови артефакти с манипулации в стил XOR и SIMD. Важно е, че не използва повторно едни и същи хеширани стойности или кодирания на низове — зловредният софтуер реконструира необходимите API хешове и низове в движение, използвайки различни аритметични и логически операции, което увеличава разходите за обратно инженерство и създаване на подписи.
Атрибуция и контекст
Поведенческите индикатори и таргетирането съвпадат с активността на Кимсуки. Атаката изглежда е целенасочена фишинг атака, насочена към южнокорейски получател. Точният час на инцидента не беше разкрит от изследователите.
Заключение
За да открият и смекчат потенциални инфекции, включващи HttpTroy, организациите трябва внимателно да следят системите си за всякакви подозрителни планирани задачи, особено такива, маскирани като легитимни актуализации от доставчици. Мрежовите защити трябва да бъдат конфигурирани да идентифицират и маркират HTTP POST комуникации, насочени към неизвестни или необичайни външни домейни, което позволява по-задълбочена проверка на предаваните данни, когато е възможно.
Екипите по сигурността също се съветват да ограничат или блокират изпълнението на неочаквани SCR файлове и неразпознати двоични файлове на Golang в крайните точки. Освен това, внедряването на надеждни решения за защита на крайните точки, способни да идентифицират изпълнението на код в паметта и да откриват аномална активност при инжектиране на процеси, може значително да намали риска от компрометиране.
