درب پشتی HttpTroy

مشاهده شده است که یک عامل مرتبط با کره شمالی که با نام کیمسوکی ردیابی می‌شود، یک درب پشتی که قبلاً دیده نشده بود، با نام «HttpTroy» را علیه یک هدف واحد در کره جنوبی اجرا می‌کند. این افشاگری شامل جدول زمانی نبود، اما محققان گزارش می‌دهند که این نفوذ با یک بسته فیشینگ با دقت ساخته شده آغاز شد که یک فاکتور VPN را جعل می‌کرد تا قربانی را برای باز کردن آرشیو مخرب فریب دهد.

تحویل و اجرای اولیه

این آلودگی با یک فایل فشرده ZIP که به عنوان فاکتور خرید تجهیزات VPN معرفی شده بود، آغاز شد. درون آن یک فایل SCR ویندوز وجود داشت که هنگام اجرا، یک زنجیره اجرای خودکار سه مرحله‌ای را راه‌اندازی می‌کرد. مرحله اول یک دراپر کوچک است که به صورت یک فایل باینری Golang پیاده‌سازی شده است. این دراپر سه منبع جاسازی شده را حمل می‌کند که یکی از آنها یک PDF بی‌خطر است که به عنوان طعمه به کاربر نشان داده می‌شود تا فعالیت مخرب در پس‌زمینه بدون جلب توجه اجرا شود.

زنجیره اجرا

• قطره‌چکان کوچک گولنگ (حاوی فایل‌های PDF فریبنده و سایر فایل‌های مخرب جاسازی‌شده)
• کامپوننت لودر با نام MemLoad
• بکدور نهایی DLL با نام HttpTroy

پایداری و رفتار لودر

لودر، MemLoad، همزمان با dropper اجرا می‌شود و پایداری و استقرار payload را مدیریت می‌کند. این لودر یک وظیفه زمان‌بندی‌شده با عنوان 'AhnlabUpdate' ایجاد می‌کند - تلاشی آشکار برای تقلید از AhnLab برای کاهش سوءظن - و از آن وظیفه برای اطمینان از بارگیری مداوم backdoor استفاده می‌کند. MemLoad همچنین مسئول رمزگشایی و تزریق backdoor DLL به فضای فرآیند میزبان برای اجرا است.

قابلیت‌های ارائه شده توسط Backdoor

• آپلود و دانلود فایل‌های دلخواه به/از میزبان قربانی
• گرفتن اسکرین شات از دسکتاپ
• اجرای دستورات با امتیازات بالا و ایجاد پوسته‌های معکوس
• بارگذاری و اجرای مستقیم فایل‌های اجرایی در حافظه (اجرای بدون فایل)
• خاتمه دادن به فرآیندها و حذف آثار فعالیت‌ها

فرماندهی و کنترل و رفتار شبکه

HttpTroy با ارسال درخواست‌های POST به یک دامنه C2 که با نام load.auraria.org شناسایی می‌شود، از طریق HTTP ساده با کنترل‌کننده خود ارتباط برقرار می‌کند. استفاده از HTTP POST باعث می‌شود ترافیک شبکه با ترافیک وب معمولی ترکیب شود، مگر اینکه به‌طور خاص پروفایل‌بندی شده باشد.

تکنیک‌های ضد تحلیل و مبهم‌سازی

این بدافزار از چندین اقدام مبهم‌سازی لایه‌ای برای خنثی کردن تحلیل استاتیک و تشخیص امضا استفاده می‌کند. به جای کدگذاری سخت نام‌ها و رشته‌های API، فراخوانی‌های API را از طریق روال‌های هش سفارشی پنهان می‌کند و مصنوعات متنی را با دستکاری‌های XOR و SIMD پنهان می‌کند. نکته مهم این است که از مقادیر هش شده یا کدگذاری‌های رشته‌ای یکسان استفاده مجدد نمی‌کند - این بدافزار هش‌ها و رشته‌های API مورد نیاز را درجا با استفاده از عملیات حسابی و منطقی مختلف بازسازی می‌کند، که این امر هزینه مهندسی معکوس و ایجاد امضا را افزایش می‌دهد.

انتساب و زمینه

شاخص‌های رفتاری و هدف‌گیری، فعالیت را با کیمسوکی همسو می‌کنند. به نظر می‌رسد این حمله یک فیشینگ هدفمند با هدف قرار دادن یک گیرنده اهل کره جنوبی بوده است. زمان دقیق این حادثه توسط محققان منتشر نشده است.

نتیجه‌گیری

برای شناسایی و کاهش آلودگی‌های احتمالی مربوط به HttpTroy، سازمان‌ها باید سیستم‌های خود را از نزدیک برای هرگونه وظیفه برنامه‌ریزی‌شده مشکوک، به ویژه آن‌هایی که خود را به عنوان به‌روزرسانی‌های قانونی فروشندگان جا می‌زنند، رصد کنند. سیستم‌های دفاعی شبکه باید طوری پیکربندی شوند که ارتباطات HTTP POST را که به دامنه‌های خارجی ناشناخته یا غیرمعمول هدایت می‌شوند، شناسایی و علامت‌گذاری کنند و در صورت امکان، امکان بازرسی عمیق‌تر داده‌های منتقل‌شده را فراهم کنند.

همچنین به تیم‌های امنیتی توصیه می‌شود که اجرای فایل‌های SCR غیرمنتظره و فایل‌های باینری Golang ناشناخته را در نقاط پایانی محدود یا مسدود کنند. علاوه بر این، استقرار راه‌حل‌های قوی برای محافظت از نقاط پایانی که قادر به شناسایی اجرای کد در حافظه و تشخیص فعالیت تزریق فرآیند غیرعادی هستند، می‌تواند خطر نفوذ را به میزان قابل توجهی کاهش دهد.