Ponuda s popustom na više licenci
Baza prijetnji Malware HttpTroy Stražnja vrata

HttpTroy Stražnja vrata

Do Mezo. Malware, Stražnja vrata. godine
Prevedi na:

Akter povezan sa Sjevernom Korejom, praćen kao Kimsuky, primijećen je kako postavlja prethodno neviđeni backdoor, praćen kao 'HttpTroy', protiv jedne mete u Južnoj Koreji. Objava nije uključivala vremenski okvir, ali istraživači izvještavaju da je upad započeo pažljivo izrađenim phishing paketom koji se lažno predstavljao kao VPN račun kako bi prevario žrtvu da otvori zlonamjernu arhivu.

Isporuka i početno izvršenje

Infekcija je započela ZIP arhivom koja se predstavljala kao račun za VPN opremu. Unutra se nalazila Windows SCR datoteka koja je, kada se izvrši, pokrenula automatizirani lanac izvršenja u tri faze. Prva faza je mali dropper implementiran kao Golang binarni fajl. Taj dropper sadrži tri ugrađena resursa, od kojih je jedan benigni PDF koji se korisniku prikazuje kao mamac tako da zlonamjerna aktivnost prolazi nezapaženo u pozadini.

Lanac izvršenja

  • Mali Golang dropper (sadrži ugrađeni PDF mamac i ostale korisne sadržaje)
  • Komponenta učitavanja pod nazivom MemLoad
  • Konačni DLL backdoor nazvan HttpTroy

Upornost i ponašanje učitavača

Učitavač, MemLoad, radi istodobno s dropperom i obrađuje perzistenciju i implementaciju korisnog tereta. Stvara planirani zadatak pod nazivom 'AhnlabUpdate' - očiti pokušaj oponašanja AhnLaba kako bi se smanjila sumnja - i koristi taj zadatak kako bi osigurao kontinuirano učitavanje stražnjeg vrata. MemLoad je također odgovoran za dešifriranje i ubrizgavanje DLL stražnjeg vrata u prostor glavnog procesa za izvršenje.

Mogućnosti koje pruža stražnja vrata

  • Prijenos i preuzimanje proizvoljnih datoteka na/s hosta žrtve
  • Snimite snimke zaslona radne površine
  • Izvršavanje naredbi s povišenim privilegijama i stvaranje obrnutih ljuski
  • Učitavanje i pokretanje izvršnih datoteka izravno u memoriji (izvršavanje bez datoteka)
  • Završi procese i ukloni tragove aktivnosti

Naredba i kontrola i ponašanje mreže

HttpTroy komunicira sa svojim kontrolerom putem običnog HTTP-a slanjem POST zahtjeva C2 domeni identificiranoj kao load.auraria.org. Korištenje HTTP POST-a miješa mrežni promet s normalnim web prometom, osim ako nije posebno profilirano.

Tehnike anti-analize i obfuskacije

Implantat koristi nekoliko slojevitih mjera zamagljivanja kako bi otežao statičku analizu i otkrivanje potpisa. Umjesto kodiranja API imena i nizova, skriva API pozive putem prilagođenih hash rutina i prikriva tekstualne artefakte manipulacijama u XOR i SIMD stilu. Važno je da ne ponovno koristi iste hashirane vrijednosti ili kodiranja nizova - zlonamjerni softver rekonstruira potrebne API hashove i nizove u hodu koristeći različite aritmetičke i logičke operacije, što povećava troškove obrnutog inženjeringa i stvaranja potpisa.

Atribucija i kontekst

Pokazatelji ponašanja i ciljanje povezuju aktivnost s Kimsukyjem. Čini se da je napad ciljani spear-phish napad usmjeren na južnokorejskog primatelja. Točno vrijeme incidenta istraživači nisu objavili.

Zaključak

Kako bi otkrile i ublažile potencijalne infekcije koje uključuju HttpTroy, organizacije bi trebale pomno pratiti svoje sustave u potrazi za sumnjivim zakazanim zadacima, posebno onima koji se maskiraju kao legitimna ažuriranja dobavljača. Mrežna obrana trebala bi biti konfigurirana za identifikaciju i označavanje HTTP POST komunikacije usmjerene na nepoznate ili neuobičajene vanjske domene, omogućujući dublji pregled prenesenih podataka kada je to moguće.

Sigurnosnim timovima se također savjetuje da ograniče ili blokiraju izvršavanje neočekivanih SCR datoteka i neprepoznatih Golang binarnih datoteka na krajnjim točkama. Osim toga, implementacija robusnih rješenja za zaštitu krajnjih točaka sposobnih za identificiranje izvršavanja koda u memoriji i otkrivanje anomalnih aktivnosti ubrizgavanja procesa može značajno smanjiti rizik od kompromitiranja.

U trendu

Nagledanije

Učitavam...