HttpTroy बैकडोर

उत्तर कोरिया से जुड़े एक व्यक्ति, जिसे किमसुकी के नाम से ट्रैक किया गया है, को दक्षिण कोरिया में एक ही लक्ष्य के खिलाफ एक पहले से न देखा गया बैकडोर, जिसे 'HttpTroy' के नाम से ट्रैक किया गया है, इस्तेमाल करते हुए देखा गया है। इस खुलासे में कोई समय-सीमा नहीं बताई गई है, लेकिन शोधकर्ताओं की रिपोर्ट है कि घुसपैठ एक सावधानीपूर्वक तैयार किए गए फ़िशिंग पैकेज से शुरू हुई, जिसने एक वीपीएन इनवॉइस का रूप धारण करके पीड़ित को दुर्भावनापूर्ण संग्रह खोलने के लिए प्रेरित किया।

वितरण और प्रारंभिक निष्पादन

संक्रमण एक ज़िप संग्रह से शुरू हुआ, जो VPN उपकरणों के लिए एक चालान के रूप में प्रस्तुत किया गया था। इसके अंदर एक विंडोज़ SCR फ़ाइल थी, जिसके निष्पादन के बाद एक स्वचालित तीन-चरणीय निष्पादन श्रृंखला शुरू हुई। पहला चरण एक छोटा ड्रॉपर है जिसे Golang बाइनरी के रूप में कार्यान्वित किया गया है। इस ड्रॉपर में तीन एम्बेडेड संसाधन होते हैं, जिनमें से एक एक सौम्य PDF है जो उपयोगकर्ता को एक प्रलोभन के रूप में दिखाया जाता है ताकि दुर्भावनापूर्ण गतिविधि पृष्ठभूमि में बिना किसी ध्यान दिए चलती रहे।

निष्पादन श्रृंखला

• छोटा गोलांग ड्रॉपर (एम्बेडेड डिकॉय पीडीएफ और अन्य पेलोड शामिल हैं)
• लोडर घटक का नाम MemLoad है
• अंतिम DLL बैकडोर को HttpTroy नाम दिया गया

दृढ़ता और लोडर व्यवहार

लोडर, मेमलोड, ड्रॉपर के साथ-साथ चलता है और दृढ़ता और पेलोड परिनियोजन को संभालता है। यह 'AhnlabUpdate' नामक एक शेड्यूल्ड कार्य बनाता है - संदेह को कम करने के लिए AhnLab की नकल करने का एक स्पष्ट प्रयास - और उस कार्य का उपयोग यह सुनिश्चित करने के लिए करता है कि बैकडोर निरंतर आधार पर लोड होता रहे। मेमलोड DLL बैकडोर को डिक्रिप्ट करने और निष्पादन के लिए होस्ट प्रोसेस स्पेस में इंजेक्ट करने के लिए भी ज़िम्मेदार है।

पिछले दरवाजे द्वारा प्रदान की जाने वाली क्षमताएँ

• पीड़ित होस्ट से/पर मनमाने ढंग से फ़ाइलें अपलोड और डाउनलोड करना
• डेस्कटॉप के स्क्रीनशॉट कैप्चर करें
• उन्नत विशेषाधिकारों के साथ कमांड निष्पादित करें और रिवर्स शेल उत्पन्न करें
• निष्पादनयोग्य फ़ाइलों को सीधे मेमोरी में लोड और चलाना (फ़ाइल रहित निष्पादन)
• प्रक्रियाओं को समाप्त करें और गतिविधि के निशान हटाएँ

कमांड-एंड-कंट्रोल और नेटवर्क व्यवहार

HttpTroy, load.auraria.org नामक C2 डोमेन पर POST अनुरोध भेजकर, साधारण HTTP के माध्यम से अपने नियंत्रक से संचार करता है। HTTP POST का उपयोग नेटवर्क ट्रैफ़िक को सामान्य वेब ट्रैफ़िक के साथ मिला देता है, जब तक कि विशेष रूप से प्रोफ़ाइल न की गई हो।

एंटी-विश्लेषण और अस्पष्टीकरण तकनीकें

इम्प्लांट स्थैतिक विश्लेषण और हस्ताक्षर पहचान को विफल करने के लिए कई स्तरित अस्पष्टीकरण उपायों का उपयोग करता है। एपीआई नामों और स्ट्रिंग्स को हार्डकोड करने के बजाय, यह कस्टम हैश रूटीन के माध्यम से एपीआई कॉल्स को छुपाता है और XOR और SIMD-शैली के हेरफेर के साथ पाठ्य कलाकृतियों को छुपाता है। महत्वपूर्ण बात यह है कि यह समान हैश मानों या स्ट्रिंग एन्कोडिंग का पुन: उपयोग नहीं करता है - मैलवेयर विभिन्न अंकगणितीय और तार्किक संक्रियाओं का उपयोग करके आवश्यक एपीआई हैश और स्ट्रिंग्स को तुरंत पुनर्निर्मित करता है, जिससे रिवर्स इंजीनियरिंग और हस्ताक्षर निर्माण की लागत बढ़ जाती है।

श्रेय और संदर्भ

व्यवहार संबंधी संकेतक और लक्ष्यीकरण इस गतिविधि को किमसुकी से जोड़ते हैं। यह हमला दक्षिण कोरियाई प्राप्तकर्ता को लक्षित भाला-फ़िश प्रतीत होता है। शोधकर्ताओं ने घटना का सटीक समय जारी नहीं किया है।

निष्कर्ष

HttpTroy से जुड़े संभावित संक्रमणों का पता लगाने और उन्हें कम करने के लिए, संगठनों को अपने सिस्टम पर किसी भी संदिग्ध शेड्यूल किए गए कार्यों, खासकर उन कार्यों की बारीकी से निगरानी करनी चाहिए जो वैध विक्रेता अपडेट के रूप में छिपे हों। नेटवर्क सुरक्षा को अज्ञात या असामान्य बाहरी डोमेन पर निर्देशित HTTP POST संचारों की पहचान करने और उन्हें चिह्नित करने के लिए कॉन्फ़िगर किया जाना चाहिए, जिससे जब भी संभव हो, प्रेषित डेटा की गहन जाँच की जा सके।

सुरक्षा टीमों को यह भी सलाह दी जाती है कि वे सभी एंडपॉइंट्स पर अनपेक्षित SCR फ़ाइलों और अपरिचित Golang बाइनरीज़ के निष्पादन को प्रतिबंधित या अवरुद्ध करें। इसके अलावा, इन-मेमोरी कोड निष्पादन की पहचान करने और असामान्य प्रक्रिया इंजेक्शन गतिविधि का पता लगाने में सक्षम मज़बूत एंडपॉइंट सुरक्षा समाधानों को लागू करने से समझौता होने का जोखिम काफ़ी कम हो सकता है।