Killua Backdoor

Killua er en bagdørstrussel indsat af trusselaktører i en kampagne mod Kuwait-organisationer fra transport- og skibsfarten. Truslen er en del af et specialbygget værktøjssæt med forskellige trusler, der får navne på tegn fra den populære manga- og anime-serie 'Hunter x Hunter' - Sakabota, Hisoka, Gon, Killua og Netero.

Funktionelt repræsenterer Killua Backdoor en opdateret og ændret version af Hisoka- bagdøren. I modsætning til Hisoka blev det dog skrevet i Visual C ++ og ikke C #. En gang inde i den målrettede computer injicerer Killua sin konfiguration i systemets registreringsdatabase gennem følgende registreringsnøgler:

• HKCU \ Kontrolpanel \ International \ _ID:
• HKCU \ Kontrolpanel \ International \ _EndPoint: "lær-service [.] Com"
• HKCU \ Kontrolpanel \ International \ _Resolver_Server: ""
• HKCU \ Kontrolpanel \ International \ _Respons: "180"
• HKCU \ Kontrolpanel \ International \ _Trin: "3"

Hovedmålet med truslen er at etablere kommunikation med hackers Command-and-Control-infrastruktur. For at gøre dette kan Killua kun bruge DNS-tunnelforespørgsler foretaget ved hjælp af det indbyggede 'nslookup' værktøj. Kommunikationskanalen initieres af Killua, der sender et fyrtårnsforespørgsel, der indeholder et unikt ID som underdomæne, der repræsenterer det specifikke kompromitterede system. De overførte data krypteres først med XOR og derefter kodes med base64.

Killua ser efter specifikke kommandoer, inden den kan starte yderligere funktioner. Kommandoerne, den genkender, er - R, -doer, -S, -status, -change, -id, -resolver, -help .