Killua Backdoor

Killua è una minaccia backdoor schierata dagli attori della minaccia in una campagna contro le organizzazioni del Kuwait del settore dei trasporti e delle spedizioni. La minaccia fa parte di un toolkit personalizzato con diverse minacce a cui vengono dati nomi di personaggi della popolare serie di manga e anime "Hunter x Hunter": Sakabota, Hisoka, Gon, Killua e Netero.

Funzionalmente, la backdoor Killua rappresenta una versione aggiornata e modificata della backdoor Hisoka. A differenza di Hisoka, tuttavia, è stato scritto in Visual C ++ e non in C #. Una volta all'interno del computer di destinazione, Killua inserisce la propria configurazione nel Registro di sistema tramite le seguenti chiavi di registro:

• HKCU \ Control Panel \ International \ _ID:
• HKCU \ Pannello di controllo \ International \ _EndPoint: "learn-service [.] Com"
• HKCU \ Pannello di controllo \ International \ _Resolver_Server: ""
• HKCU \ Pannello di controllo \ Internazionale \ _Response: "180"
• HKCU \ Pannello di controllo \ Internazionale \ _Passo: "3"

L'obiettivo principale della minaccia è stabilire comunicazioni con l'infrastruttura di comando e controllo degli hacker. Per fare ciò, Killua può utilizzare solo le query di tunneling DNS effettuate utilizzando il suo strumento "nslookup" integrato. Il canale di comunicazione viene avviato da Killua inviando una query beacon che contiene un ID univoco come sottodominio che rappresenta lo specifico sistema compromesso. I dati trasferiti vengono prima crittografati con XOR e poi codificati con base64.

Killua cerca comandi specifici prima di poter avviare qualsiasi funzionalità aggiuntiva. I comandi che riconosce sono - R, -doer, -S, -status, -change, -id, -resolver, -help .