HttpTroy-takaovi
Pohjois-Koreaan kytköksissä olevan toimijan, jota jäljitettiin nimellä Kimsuky, on havaittu toimittavan aiemmin näkymätöntä takaporttia, jota jäljitettiin nimellä "HttpTroy", yhtä Etelä-Koreassa sijaitsevaa kohdetta vastaan. Paljastuksessa ei ollut aikajanaa, mutta tutkijoiden mukaan tunkeutuminen alkoi huolellisesti laaditulla tietojenkalastelupaketilla, joka jäljitteli VPN-laskua huijatakseen uhrin avaamaan haitallisen arkiston.
Sisällysluettelo
Toimitus ja alustava toteutus
Tartunta alkoi ZIP-arkistosta, joka esiintyi VPN-laitteiden laskuna. Sen sisällä oli Windows SCR -tiedosto, joka suoritettaessa käynnisti automaattisen kolmivaiheisen suoritusketjun. Ensimmäinen vaihe on pieni dropper, joka on toteutettu Golang-binäärinä. Dropperissa on kolme upotettua resurssia, joista yksi on vaaraton PDF-tiedosto, joka näytetään käyttäjälle houkutuskeinona, jotta haitallinen toiminta tapahtuu huomaamattomasti taustalla.
Toteutusketju
- Pieni Golang-tippaaja (sisältää upotetun houkutustiedoston PDF:n ja muita hyötykuormia)
- Lataajakomponentti nimeltä MemLoad
- Viimeinen DLL-takaovi nimeltä HttpTroy
Pysyvyys ja kuormaajan käyttäytyminen
Lataaja MemLoad toimii rinnakkain dropperin kanssa ja käsittelee pysyvyyden ja hyötykuormien käyttöönoton. Se luo ajoitetun tehtävän nimeltä 'AhnlabUpdate' – ilmeinen yritys matkia AhnLabia epäilysten vähentämiseksi – ja käyttää tätä tehtävää varmistaakseen, että takaportti ladataan jatkuvasti. MemLoad vastaa myös DLL-takaportin salauksen purkamisesta ja syöttämisestä isäntäprosessiin suoritusta varten.
Takaoven tarjoamat ominaisuudet
- Lähetä ja lataa mielivaltaisia tiedostoja uhripalvelimelle/palvelimelta
- Ota kuvakaappauksia työpöydältä
- Suorita komentoja korotetuilla oikeuksilla ja käynnistä käänteisiä komentotulkkeja
- Lataa ja suorita suoritettavia tiedostoja suoraan muistissa (tiedostoton suoritus)
- Lopeta prosessit ja poista toiminnan jäljet
Komento- ja hallintajärjestelmä sekä verkon käyttäytyminen
HttpTroy kommunikoi ohjaimensa kanssa pelkän HTTP:n kautta lähettämällä POST-pyyntöjä C2-verkkotunnukseen, joka on tunnistettu nimellä load.auraria.org. HTTP POST:n käyttö saa verkkoliikenteen sekoittumaan normaaliin verkkoliikenteeseen, ellei sitä ole erikseen profiloitu.
Anti-analyysi- ja hämärtämistekniikat
Implantti käyttää useita kerrostettuja hämärrysmenetelmiä staattisen analyysin ja allekirjoitusten tunnistuksen vaikeuttamiseksi. API-nimien ja -merkkijonojen kovakoodaamisen sijaan se piilottaa API-kutsuja mukautettuilla tiivisterutiineilla ja peittää tekstimuotoisia artefakteja XOR- ja SIMD-tyylisillä manipuloinneilla. Tärkeää on, että se ei käytä samoja tiivistettyjä arvoja tai merkkijonokoodauksia uudelleen – haittaohjelma rekonstruoi tarvittavat API-tiivisteet ja -merkkijonot lennossa käyttämällä erilaisia aritmeettisia ja loogisia operaatioita, mikä lisää käänteisen suunnittelun ja allekirjoitusten luomisen kustannuksia.
Attribuutio ja konteksti
Käyttäytymisindikaattorit ja kohdistaminen viittaavat Kimsukyyn. Hyökkäys näyttää olevan kohdennettu keihäshuijaus, joka on suunnattu eteläkorealaiseen vastaanottajaan. Tutkijat eivät ole julkistaneet tapahtuman tarkkaa ajankohtaa.
Johtopäätös
HttpTroy-tartuntojen havaitsemiseksi ja lieventämiseksi organisaatioiden tulisi valvoa järjestelmiään tarkasti epäilyttävien ajoitettujen tehtävien varalta, erityisesti sellaisten, jotka naamioituvat laillisiksi toimittajan päivityksiksi. Verkkosuojaukset tulisi määrittää tunnistamaan ja merkitsemään tuntemattomiin tai epätavallisiin ulkoisiin verkkotunnuksiin suunnatut HTTP POST -viestinnät, mikä mahdollistaa lähetettyjen tietojen perusteellisemman tarkastelun mahdollisuuksien mukaan.
Tietoturvatiimejä kehotetaan myös rajoittamaan tai estämään odottamattomien SCR-tiedostojen ja tunnistamattomien Golang-binäärien suorittaminen päätepisteissä. Lisäksi vankkojen päätepisteiden suojausratkaisujen käyttöönotto, jotka pystyvät tunnistamaan muistissa tapahtuvan koodin suorittamisen ja havaitsemaan poikkeavan prosessien injektointitoiminnan, voi merkittävästi vähentää tietomurron riskiä.
