HttpTroy Backdoor
Bylo pozorováno, že se Severní Koreou spojený aktér sledovaný jako Kimsuky infiltroval dosud neviditelný backdoor s označením „HttpTroy“ proti jednomu cíli v Jižní Koreji. Zveřejnění neobsahovalo časovou osu, ale výzkumníci uvádějí, že útok začal pečlivě vytvořeným phishingovým balíčkem, který se vydával za fakturu VPN, aby oběť oklamal a donutil ji otevřít škodlivý archiv.
Obsah
Dodání a počáteční provedení
Infekce začala ZIP archivem, který se vydával za fakturu za VPN zařízení. Uvnitř se nacházel soubor Windows SCR, jehož spuštění spustil automatizovaný třífázový řetězec provádění. První fází je malý dropper implementovaný jako binární soubor Golang. Tento dropper obsahuje tři vložené zdroje, z nichž jeden je neškodný PDF soubor zobrazený uživateli jako návnada, takže škodlivá aktivita probíhá bez povšimnutí na pozadí.
Řetězec realizace
- Malý Golang dropper (obsahuje vložený PDF s návnadou a další užitečné zatížení)
- Zavaděčová komponenta s názvem MemLoad
- Finální DLL backdoor s názvem HttpTroy
Perzistence a chování zavaděče
Zavaděč MemLoad běží souběžně s dropperem a stará se o perzistenci a nasazení dat. Vytvoří naplánovanou úlohu s názvem „AhnlabUpdate“ – zjevný pokus napodobit AhnLab, aby se snížilo podezření – a tuto úlohu používá k zajištění průběžného načítání backdooru. MemLoad je také zodpovědný za dešifrování a vložení backdooru DLL do prostoru hostitelského procesu pro spuštění.
Možnosti poskytované zadními vrátky
- Nahrávání a stahování libovolných souborů do/z oběti hostitele
- Pořizování snímků obrazovky plochy
- Spouštět příkazy se zvýšenými oprávněními a spouštět reverzní shell
- Načítání a spouštění spustitelných souborů přímo v paměti (bezsouborové spuštění)
- Ukončit procesy a odstranit stopy aktivity
Řízení a chování v síti
HttpTroy komunikuje se svým řadičem přes čistý HTTP odesíláním POST požadavků na doménu C2 identifikovanou jako load.auraria.org. Použití HTTP POST způsobuje, že se síťový provoz mísí s běžným webovým provozem, pokud není specificky profilován.
Techniky antianalýzy a zamlžování
Implantát používá několik vrstevnatých obfuskačních opatření, aby zmařil statickou analýzu a detekci podpisů. Místo pevného kódování názvů a řetězců API skrývá volání API pomocí vlastních hašovacích rutin a textové artefakty skrývá pomocí manipulací ve stylu XOR a SIMD. Důležité je, že opakovaně nepoužívá stejné hašované hodnoty ani kódování řetězců – malware rekonstruuje požadované haše a řetězce API za chodu pomocí různých aritmetických a logických operací, což zvyšuje náklady na reverzní inženýrství a vytváření podpisů.
Atribuce a kontext
Behaviorální indikátory a cílení shodují aktivitu s útokem Kimsuky. Zdá se, že se jedná o cílený phishing zaměřený na jihokorejského příjemce. Přesné načasování incidentu výzkumníci nezveřejnili.
Závěr
Aby organizace detekovaly a zmírnily potenciální infekce zahrnující HttpTroy, měly by pečlivě sledovat své systémy, zda neobsahují podezřelé naplánované úlohy, zejména ty, které se maskují jako legitimní aktualizace dodavatelů. Síťová ochrana by měla být nakonfigurována tak, aby identifikovala a označila komunikaci HTTP POST směřující na neznámé nebo neobvyklé externí domény, což by umožnilo hlubší kontrolu přenášených dat, pokud je to možné.
Bezpečnostním týmům se také doporučuje omezit nebo blokovat spouštění neočekávaných souborů SCR a nerozpoznaných binárních souborů Golang napříč koncovými body. Kromě toho může nasazení robustních řešení ochrany koncových bodů schopných identifikovat spuštění kódu v paměti a detekovat anomální aktivitu vkládání procesů výrazně snížit riziko kompromitace.
