HttpTroy hátsó ajtó

Egy Észak-Koreához köthető, Kimsuky néven nyomon követett szereplőt megfigyeltek, amint egy korábban láthatatlan hátsó ajtót, a „HttpTroy”-t telepített egyetlen dél-koreai célpont ellen. A közzététel nem tartalmazott időbeli lefolyást, de a kutatók arról számoltak be, hogy a behatolás egy gondosan kidolgozott adathalász csomaggal kezdődött, amely egy VPN-számlát utánozott, hogy rávegye az áldozatot a rosszindulatú archívum megnyitására.

Szállítás és kezdeti végrehajtás

A fertőzés egy ZIP archívummal kezdődött, amely VPN-eszközök számlájának adta ki magát. A benne lévő fájl egy Windows SCR fájl volt, amelynek végrehajtása egy automatizált, háromlépcsős végrehajtási láncot indított el. Az első lépés egy kis, Golang binárisként megvalósított dropper. Ez a dropper három beágyazott erőforrást tartalmaz, amelyek közül az egyik egy ártalmatlan PDF, amelyet a felhasználónak csapdaként mutatnak, így a rosszindulatú tevékenység észrevétlenül fut a háttérben.

A végrehajtási lánc

• Kis Golang cseppentő (beágyazott csali PDF-et és egyéb hasznos adatokat tartalmaz)
• MemLoad nevű betöltő komponens
• Utolsó DLL hátsó ajtó, HttpTroy névre keresztelve

Kitartás és betöltő viselkedés

A betöltő, a MemLoad, párhuzamosan fut a dropperrel, és kezeli a perzisztenciát és a hasznos adatok telepítését. Létrehoz egy ütemezett feladatot „AhnlabUpdate” néven – nyilvánvaló kísérlet az AhnLab utánzására a gyanú csökkentése érdekében –, és ezt a feladatot használja annak biztosítására, hogy a hátsó ajtó folyamatosan betöltődjön. A MemLoad felelős a DLL hátsó ajtó dekódolásáért és a gazdafolyamat-térbe történő befecskendezéséért is.

A hátsó ajtó által biztosított képességek

• Tetszőleges fájlok feltöltése és letöltése az áldozat gazdagépére/gépéről
• Készítsen képernyőképeket az asztalról
• Parancsok végrehajtása emelt jogosultságokkal és fordított shell-ek létrehozása
• Futtatható fájlok betöltése és futtatása közvetlenül a memóriában (fájl nélküli végrehajtás)
• Folyamatok leállítása és a tevékenységnyomok eltávolítása

Parancsnokság és irányítás, valamint hálózati viselkedés

A HttpTroy sima HTTP-n keresztül kommunikál a vezérlőjével, POST kéréseket küldve a load.auraria.org néven azonosított C2 domainnek. A HTTP POST használata miatt a hálózati forgalom összeolvad a normál webforgalommal, kivéve, ha külön profilalkotás történik.

Antianalízis és obfuszkációs technikák

A beültetett program számos rétegzett obfuszkációs intézkedést használ a statikus elemzés és az aláírás-észlelés meghiúsítására. Az API-nevek és -karakterláncok fix kódolása helyett egyéni hash-rutinokkal rejti el az API-hívásokat, és XOR és SIMD stílusú manipulációkkal titkolja el a szöveges elemeket. Fontos, hogy nem használja újra ugyanazokat a hashelt értékeket vagy karakterlánc-kódolásokat – a rosszindulatú program menet közben rekonstruálja a szükséges API-hasheket és -karakterláncokat különböző aritmetikai és logikai műveletek segítségével, ami növeli a visszafejtés és az aláírás-létrehozás költségeit.

Hozzárendelés és kontextus

A viselkedési mutatók és a célzás a Kimsukyhoz köthető tevékenységet. A támadás egy dél-koreai címzett ellen irányuló célzott adathalászatnak tűnik. Az incidens pontos időpontját a kutatók nem hozták nyilvánosságra.

Következtetés

A HttpTroy-t érintő potenciális fertőzések észlelése és enyhítése érdekében a szervezeteknek szorosan figyelniük kell rendszereiket a gyanús ütemezett feladatok, különösen a legitim szállítói frissítéseknek álcázott feladatok szempontjából. A hálózati védelmet úgy kell konfigurálni, hogy azonosítsák és megjelöljék az ismeretlen vagy szokatlan külső domainekre irányuló HTTP POST kommunikációt, lehetővé téve az átvitt adatok mélyebb vizsgálatát, ahol lehetséges.

A biztonsági csapatoknak azt is javasoljuk, hogy korlátozzák vagy blokkolják a váratlan SCR-fájlok és a felismeretlen Golang binárisok végrehajtását a végpontokon. Ezenkívül a memóriában lévő kódfuttatás azonosítására és a rendellenes folyamatbefecskendezési tevékenység észlelésére képes robusztus végpontvédelmi megoldások telepítése jelentősen csökkentheti a kompromittálás kockázatát.