HttpTroy Backdoor

តារាសម្តែងដែលមានទំនាក់ទំនងនឹងប្រទេសកូរ៉េខាងជើងដែលត្រូវបានតាមដានជា Kimsuky ត្រូវបានគេសង្កេតឃើញបានផ្តល់នូវ backdoor ដែលមើលមិនឃើញពីមុនដែលត្រូវបានតាមដានជា 'HttpTroy' ប្រឆាំងនឹងគោលដៅតែមួយនៅក្នុងប្រទេសកូរ៉េខាងត្បូង។ ការបង្ហាញនេះមិនរួមបញ្ចូលការកំណត់ពេលវេលានោះទេ ប៉ុន្តែអ្នកស្រាវជ្រាវរាយការណ៍ពីការឈ្លានពានបានចាប់ផ្តើមជាមួយនឹងកញ្ចប់បន្លំដែលបានរៀបចំយ៉ាងប្រុងប្រយ័ត្ន ដែលក្លែងបន្លំជាវិក្កយបត្រ VPN ដើម្បីបញ្ឆោតជនរងគ្រោះឱ្យបើកបណ្ណសារដែលមានគំនិតអាក្រក់។

ការដឹកជញ្ជូន និងការអនុវត្តដំបូង

ការឆ្លងបានចាប់ផ្តើមជាមួយនឹងប័ណ្ណសារហ្ស៊ីបដែលដាក់ជាវិក្កយបត្រសម្រាប់ឧបករណ៍ VPN ។ នៅខាងក្នុងគឺជាឯកសារ Windows SCR ដែលនៅពេលប្រតិបត្តិ បានចាប់ផ្តើមខ្សែសង្វាក់ប្រតិបត្តិបីដំណាក់កាលដោយស្វ័យប្រវត្តិ។ ដំណាក់​កាល​ដំបូង​គឺ​ជា dropper តូច​មួយ​បាន​អនុវត្ត​ជា​គោល​ពីរ Golang ។ ដំណក់ទឹកនោះផ្ទុកនូវធនធានដែលបានបង្កប់ចំនួនបី ដែលមួយក្នុងចំណោមនោះជា PDF ដ៏ស្រាលដែលបង្ហាញដល់អ្នកប្រើប្រាស់ថាជាឧបករណ៍បញ្ឆោត ដូច្នេះសកម្មភាពព្យាបាទដំណើរការដោយមិនមាននរណាកត់សម្គាល់នៅក្នុងផ្ទៃខាងក្រោយ។

ខ្សែសង្វាក់ប្រតិបត្តិ

• ដំណក់ទឹក Golang តូច (មានបង្កប់ឯកសារ PDF និងបន្ទុកផ្សេងទៀត)
• សមាសភាគកម្មវិធីផ្ទុកទិន្នន័យដែលមានឈ្មោះថា MemLoad
• ចុងក្រោយ DLL backdoor ត្រូវបានគេហៅថា HttpTroy

ឥរិយាបទនៃការតស៊ូ និងអ្នកបើកបរ

ឧបករណ៍ផ្ទុក MemLoad ដំណើរការក្នុងពេលដំណាលគ្នាជាមួយឧបករណ៍ទម្លាក់ ហើយគ្រប់គ្រងការបន្ត និងការដាក់ពង្រាយបន្ទុក។ វាបង្កើតកិច្ចការដែលបានកំណត់ពេលដែលមានស្លាក 'AhnlabUpdate' ដែលជាការប៉ុនប៉ងជាក់ស្តែងដើម្បីធ្វើត្រាប់តាម AhnLab ដើម្បីកាត់បន្ថយការសង្ស័យ ហើយប្រើប្រាស់កិច្ចការនោះដើម្បីធានាថា backdoor ត្រូវបានផ្ទុកជាបន្ត។ MemLoad ក៏ទទួលខុសត្រូវចំពោះការឌិគ្រីប និងបញ្ចូល DLL backdoor ទៅក្នុងកន្លែងដំណើរការម៉ាស៊ីនសម្រាប់ការប្រតិបត្តិ។

សមត្ថភាពដែលផ្តល់ដោយ The Backdoor

• បង្ហោះ និងទាញយកឯកសារបំពានទៅ/ពីម្ចាស់ផ្ទះជនរងគ្រោះ
• ចាប់យករូបថតអេក្រង់នៃផ្ទៃតុ
• ប្រតិបត្តិពាក្យបញ្ជាដោយមានសិទ្ធិខ្ពស់ និងបង្កើតសំបកបញ្ច្រាស
• ផ្ទុក និងដំណើរការការប្រតិបត្តិដោយផ្ទាល់នៅក្នុងអង្គចងចាំ (ការប្រតិបត្តិដោយគ្មានឯកសារ)
• បញ្ចប់ដំណើរការ និងលុបដាននៃសកម្មភាព

ពាក្យបញ្ជា និងការគ្រប់គ្រង និងឥរិយាបថបណ្តាញ

HttpTroy ប្រាស្រ័យទាក់ទងជាមួយឧបករណ៍បញ្ជារបស់វាលើ HTTP ធម្មតាដោយផ្ញើសំណើ POST ទៅដែន C2 ដែលត្រូវបានកំណត់ថាជា load.auraria.org ។ ការប្រើប្រាស់ HTTP POST ធ្វើឱ្យចរាចរបណ្តាញរួមបញ្ចូលគ្នាជាមួយចរាចរណ៍គេហទំព័រធម្មតា លុះត្រាតែមានទម្រង់ជាក់លាក់។

បច្ចេកទេសប្រឆាំងការវិភាគ និងការបំភាន់

ការផ្សាំប្រើវិធានការបិទបាំងជាស្រទាប់ជាច្រើន ដើម្បីរំខានការវិភាគឋិតិវន្ត និងការរកឃើញហត្ថលេខា។ ជំនួសឱ្យការសរសេរកូដ API ឈ្មោះ និងខ្សែអក្សរ វាលាក់ការហៅ API តាមរយៈទម្លាប់ hash ផ្ទាល់ខ្លួន និងលាក់វត្ថុបុរាណជាអក្សរជាមួយនឹងឧបាយកលតាមរចនាប័ទ្ម XOR និង SIMD ។ សំខាន់ វាមិនប្រើឡើងវិញនូវតម្លៃ hashed ដូចគ្នា ឬការអ៊ិនកូដខ្សែអក្សរ — មេរោគបង្កើតឡើងវិញនូវ API hash និង strings ដែលត្រូវការភ្លាមៗដោយប្រើប្រតិបត្តិការនព្វន្ធ និងឡូជីខលខុសៗគ្នា ដែលបង្កើនតម្លៃនៃវិស្វកម្មបញ្ច្រាស និងការបង្កើតហត្ថលេខា។

គុណលក្ខណៈ និងបរិបទ

សូចនាករអាកប្បកិរិយា និងការកំណត់គោលដៅ តម្រឹមសកម្មភាពជាមួយ Kimsuky ។ ការ​វាយ​ប្រហារ​នេះ​ទំនង​ជា​ការ​វាយ​ប្រហារ​ដោយ​លំពែង​ដែល​មាន​គោល​ដៅ​ទៅ​លើ​អ្នក​ទទួល​កូរ៉េ​ខាង​ត្បូង។ ពេលវេលាពិតប្រាកដនៃឧបទ្ទវហេតុនេះមិនត្រូវបានបញ្ចេញដោយអ្នកស្រាវជ្រាវនោះទេ។

សេចក្តីសន្និដ្ឋាន

ដើម្បីស្វែងរក និងកាត់បន្ថយការឆ្លងដែលមានសក្តានុពលពាក់ព័ន្ធនឹង HttpTroy អង្គការនានាគួរតែតាមដានយ៉ាងដិតដល់នូវប្រព័ន្ធរបស់ពួកគេសម្រាប់កិច្ចការដែលបានគ្រោងទុកគួរឱ្យសង្ស័យ ជាពិសេសការក្លែងបន្លំជាការធ្វើបច្ចុប្បន្នភាពរបស់អ្នកលក់ស្របច្បាប់។ ការការពារបណ្តាញគួរតែត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីកំណត់អត្តសញ្ញាណ និងដាក់ទង់ទំនាក់ទំនង HTTP POST ដែលដឹកនាំទៅកាន់ដែនខាងក្រៅដែលមិនស្គាល់ ឬមិនធម្មតា ដែលអនុញ្ញាតឱ្យមានការត្រួតពិនិត្យស៊ីជម្រៅនៃទិន្នន័យដែលបានបញ្ជូននៅពេលដែលអាចធ្វើទៅបាន។

ក្រុមសន្តិសុខក៏ត្រូវបានណែនាំឱ្យដាក់កម្រិត ឬរារាំងការប្រតិបត្តិឯកសារ SCR ដែលមិនបានរំពឹងទុក និងប្រព័ន្ធគោលពីរ Golang ដែលមិនទទួលស្គាល់នៅទូទាំងចំណុចបញ្ចប់។ លើសពីនេះ ការដាក់ពង្រាយដំណោះស្រាយការពារចំណុចបញ្ចប់ដ៏រឹងមាំដែលមានសមត្ថភាពកំណត់អត្តសញ្ញាណការប្រតិបត្តិកូដក្នុងអង្គចងចាំ និងការរកឃើញសកម្មភាពចាក់ថ្នាំដំណើរការខុសប្រក្រតីអាចកាត់បន្ថយហានិភ័យនៃការសម្របសម្រួលបានយ៉ាងច្រើន។