HttpTroy tagauks
Põhja-Koreaga seotud tegelast, keda jälgiti nime all Kimsuky, on täheldatud avamas varem nägematut tagaust nimega „HttpTroy” ühe Lõuna-Korea sihtmärgi vastu. Avalikustamine ei sisaldanud ajajoont, kuid teadlaste sõnul algas sissetung hoolikalt loodud andmepüügipaketiga, mis imiteeris VPN-arvet, et meelitada ohvrit pahatahtlikku arhiivi avama.
Sisukord
Kohaletoimetamine ja esialgne teostus
Nakatumine sai alguse ZIP-arhiivist, mis teeskles VPN-seadmete arvena esinemist. Selle sees oli Windowsi SCR-fail, mille käivitamisel käivitati automaatne kolmeastmeline täitmiskeel. Esimene etapp on väike tilguti, mis on implementeeritud Golangi binaarfailina. See tilguti sisaldab kolme manustatud ressurssi, millest üks on healoomuline PDF-fail, mida kuvatakse kasutajale peibutusvahendina, nii et pahatahtlik tegevus toimub taustal märkamatult.
Täitmisahel
- Väike Golangi tilguti (sisaldab manustatud peibutus-PDF-i ja muid kasulikke andmeid)
- Laadija komponent nimega MemLoad
- Lõplik DLL-i tagauks nimega HttpTroy
Püsivus ja laaduri käitumine
Laadur MemLoad töötab samaaegselt dropperiga ning tegeleb püsivuse ja kasuliku koormuse paigutamisega. See loob ajastatud ülesande nimega „AhnlabUpdate” – ilmne katse jäljendada AhnLabi kahtluste vähendamiseks – ja kasutab seda ülesannet tagaukse pideva laadimise tagamiseks. MemLoad vastutab ka DLL-i tagaukse dekrüpteerimise ja hostiprotsessiruumi täitmiseks sisestamise eest.
Tagaukse pakutavad võimalused
- Laadige ohvri hostile üles ja alla suvalisi faile
- Jäädvustage töölaua ekraanipilte
- Käivita käske kõrgendatud õigustega ja käivita vastupidised kestad
- Laadige ja käivitage käivitatavaid faile otse mällu (failideta käivitamine)
- Lõpetage protsessid ja eemaldage tegevuse jäljed
Käsklus ja kontroll ning võrgu käitumine
HttpTroy suhtleb oma kontrolleriga tavalise HTTP kaudu, saates POST-päringuid C2-domeenile, mis on identifitseeritud kui load.auraria.org. HTTP POST-i kasutamine sulandub võrguliiklusega tavalise veebiliiklusega, kui pole spetsiaalselt profileeritud.
Antianalüüsi ja hämamise tehnikad
Implantaat kasutab staatilise analüüsi ja signatuuride tuvastamise nurjamiseks mitut kihilist hägustamismeedet. API nimede ja stringide kõvakodeerimise asemel peidab see API kõnesid kohandatud räsirutiinide abil ja tekstilisi esemeid XOR- ja SIMD-stiilis manipulatsioonidega. Oluline on see, et see ei kasuta samu räsiväärtusi ega stringikodeeringuid uuesti – pahavara rekonstrueerib vajalikud API räsid ja stringid lennult, kasutades erinevaid aritmeetilisi ja loogilisi operatsioone, mis suurendab pöördprojekteerimise ja signatuuride loomise kulusid.
Omistamine ja kontekst
Käitumuslikud näitajad ja sihtimine viitavad tegevusele Kimsukyga. Rünnak näib olevat suunatud Lõuna-Korea adressaadile suunatud odaõngepüük. Teadlased ei avaldanud intsidendi täpset aega.
Kokkuvõte
HttpTroyga seotud võimalike nakkuste avastamiseks ja leevendamiseks peaksid organisatsioonid oma süsteeme tähelepanelikult jälgima kahtlaste ajastatud ülesannete suhtes, eriti nende suhtes, mis maskeeruvad seaduslikeks tarnijate värskendusteks. Võrgukaitsevahendid peaksid olema konfigureeritud tuvastama ja märgistama tundmatutele või ebatavalistele välistele domeenidele suunatud HTTP POST-side, võimaldades edastatud andmete põhjalikumat kontrollimist, kui see on võimalik.
Turvameeskondadel soovitatakse piirata või blokeerida ootamatute SCR-failide ja tundmatute Golangi binaarfailide käivitamist lõpp-punktides. Lisaks võib mälusisese koodi käivitamise ja anomaalse protsessisüstimise tuvastamiseks võimeliste töökindlate lõpp-punktide kaitselahenduste juurutamine oluliselt vähendada ohtu.
