HttpTroy ব্যাকডোর

কিমসুকি নামে ট্র্যাক করা উত্তর কোরিয়ার সাথে যুক্ত একজন অভিনেতাকে দক্ষিণ কোরিয়ার একক লক্ষ্যবস্তুর বিরুদ্ধে 'HttpTroy' নামে ট্র্যাক করা একটি অদেখা ব্যাকডোর ডেলিভারি করতে দেখা গেছে। প্রকাশে কোনও সময়সীমা অন্তর্ভুক্ত ছিল না, তবে গবেষকরা জানিয়েছেন যে অনুপ্রবেশটি একটি সাবধানে তৈরি ফিশিং প্যাকেজ দিয়ে শুরু হয়েছিল যা একটি VPN ইনভয়েসের ছদ্মবেশে শিকারকে দূষিত আর্কাইভ খুলতে প্রতারণা করেছিল।

ডেলিভারি এবং প্রাথমিক সম্পাদন

এই সংক্রমণটি শুরু হয়েছিল একটি জিপ আর্কাইভ দিয়ে যা ভিপিএন সরঞ্জামের জন্য একটি ইনভয়েস হিসেবে উপস্থাপন করেছিল। এর ভিতরে একটি উইন্ডোজ এসসিআর ফাইল ছিল যা কার্যকর করার সময় একটি স্বয়ংক্রিয় তিন-পর্যায়ের এক্সিকিউশন চেইন চালু করে। প্রথম পর্যায়ে গোল্যাং বাইনারি হিসাবে বাস্তবায়িত একটি ছোট ড্রপার। সেই ড্রপারটিতে তিনটি এমবেডেড রিসোর্স রয়েছে, যার মধ্যে একটি হল একটি বিনয়ী পিডিএফ যা ব্যবহারকারীকে একটি প্রতারণা হিসাবে দেখানো হয় যাতে পটভূমিতে ক্ষতিকারক কার্যকলাপ অলক্ষিত থাকে।

মৃত্যুদণ্ড কার্যকরের শৃঙ্খল

• ছোট গোল্যাং ড্রপার (এম্বেডেড ডিকয় পিডিএফ এবং অন্যান্য পেলোড রয়েছে)
• মেমলোড নামের লোডার উপাদান
• চূড়ান্ত DLL ব্যাকডোর ডাব করা হয়েছে HttpTroy

অধ্যবসায় এবং লোডার আচরণ

লোডার, মেমলোড, ড্রপারের সাথে একই সাথে চলে এবং স্থায়িত্ব এবং পেলোড স্থাপনা পরিচালনা করে। এটি 'আহনল্যাবআপডেট' লেবেলযুক্ত একটি নির্ধারিত কাজ তৈরি করে - সন্দেহ কমাতে আহনল্যাবকে অনুকরণ করার একটি স্পষ্ট প্রচেষ্টা - এবং ব্যাকডোরটি ক্রমাগত লোড হচ্ছে তা নিশ্চিত করার জন্য সেই কাজটি ব্যবহার করে। মেমলোড হোস্ট প্রসেস স্পেসে ডিক্রিপ্ট এবং কার্যকর করার জন্য ডিক্রিপ্ট করার জন্যও দায়ী।

ব্যাকডোর দ্বারা প্রদত্ত ক্ষমতা

• ভিকটিম হোস্টে/থেকে ইচ্ছামত ফাইল আপলোড এবং ডাউনলোড করুন
• ডেস্কটপের স্ক্রিনশট ক্যাপচার করুন
• উন্নত সুবিধা সহ কমান্ডগুলি কার্যকর করুন এবং বিপরীত শেল তৈরি করুন
• মেমোরিতে সরাসরি এক্সিকিউটেবল লোড এবং রান করুন (ফাইলবিহীন এক্সিকিউশন)
• প্রক্রিয়াগুলি বন্ধ করুন এবং কার্যকলাপের চিহ্নগুলি সরান

কমান্ড-এন্ড-কন্ট্রোল এবং নেটওয়ার্ক আচরণ

HttpTroy load.aurria.org নামে চিহ্নিত একটি C2 ডোমেনে POST অনুরোধ পাঠিয়ে প্লেইন HTTP-এর মাধ্যমে তার কন্ট্রোলারের সাথে যোগাযোগ করে। HTTP POST ব্যবহারের ফলে নেটওয়ার্ক ট্র্যাফিক স্বাভাবিক ওয়েব ট্র্যাফিকের সাথে মিশে যায় যদি না নির্দিষ্টভাবে প্রোফাইল করা হয়।

বিশ্লেষণ-বিরোধী এবং অস্পষ্টকরণ কৌশল

স্ট্যাটিক বিশ্লেষণ এবং স্বাক্ষর সনাক্তকরণকে ব্যর্থ করার জন্য ইমপ্লান্টটি বেশ কয়েকটি স্তরযুক্ত অস্পষ্টতা ব্যবস্থা ব্যবহার করে। API নাম এবং স্ট্রিংগুলিকে হার্ডকোড করার পরিবর্তে, এটি কাস্টম হ্যাশ রুটিনের মাধ্যমে API কলগুলি লুকিয়ে রাখে এবং XOR এবং SIMD-স্টাইল ম্যানিপুলেশনের মাধ্যমে টেক্সটুয়াল আর্টিফ্যাক্টগুলিকে গোপন করে। গুরুত্বপূর্ণভাবে, এটি একই হ্যাশ করা মান বা স্ট্রিং এনকোডিংগুলি পুনরায় ব্যবহার করে না - ম্যালওয়্যার বিভিন্ন গাণিতিক এবং লজিক্যাল অপারেশন ব্যবহার করে প্রয়োজনীয় API হ্যাশ এবং স্ট্রিংগুলিকে তাৎক্ষণিকভাবে পুনর্গঠন করে, যা বিপরীত প্রকৌশল এবং স্বাক্ষর তৈরির খরচ বাড়িয়ে দেয়।

বৈশিষ্ট্য এবং প্রসঙ্গ

আচরণগত সূচক এবং লক্ষ্যবস্তু কিমসুকির কার্যকলাপের সাথে সাদৃশ্যপূর্ণ। আক্রমণটি দক্ষিণ কোরিয়ার একজন প্রাপককে লক্ষ্য করে একটি বর্শা-ফিশ বলে মনে হচ্ছে। গবেষকরা ঘটনার সঠিক সময় প্রকাশ করেননি।

উপসংহার

HttpTroy-এর সাথে জড়িত সম্ভাব্য সংক্রমণ সনাক্ত এবং প্রশমিত করার জন্য, সংস্থাগুলিকে তাদের সিস্টেমগুলিকে সন্দেহজনক নির্ধারিত কাজের জন্য নিবিড়ভাবে পর্যবেক্ষণ করা উচিত, বিশেষ করে যেগুলি বৈধ বিক্রেতা আপডেটের ছদ্মবেশে কাজ করে। অজানা বা অস্বাভাবিক বহিরাগত ডোমেনগুলিতে নির্দেশিত HTTP POST যোগাযোগগুলি সনাক্ত এবং ফ্ল্যাগ করার জন্য নেটওয়ার্ক প্রতিরক্ষাগুলি কনফিগার করা উচিত, যাতে সম্ভব হলে প্রেরিত ডেটার আরও গভীর পরিদর্শন করা যায়।

নিরাপত্তা দলগুলিকে এন্ডপয়েন্ট জুড়ে অপ্রত্যাশিত SCR ফাইল এবং অচেনা গোল্যাং বাইনারিগুলির কার্যকরকরণ সীমাবদ্ধ বা ব্লক করার পরামর্শ দেওয়া হচ্ছে। এছাড়াও, মেমরির মধ্যে কোড কার্যকরকরণ সনাক্ত করতে এবং অস্বাভাবিক প্রক্রিয়া ইনজেকশন কার্যকলাপ সনাক্ত করতে সক্ষম শক্তিশালী এন্ডপয়েন্ট সুরক্ষা সমাধান স্থাপন করা আপস হওয়ার ঝুঁকি উল্লেখযোগ্যভাবে হ্রাস করতে পারে।