HttpTroy Backdoor
Pastebėta, kad su Šiaurės Korėja susijęs veikėjas, atsekamas kaip Kimsuky, į vieną taikinį Pietų Korėjoje įdiegė anksčiau nematytą užpakalinę duris, atsekamą kaip „HttpTroy“. Atskleistame pranešime nebuvo nurodyta laiko juosta, tačiau tyrėjai praneša, kad įsilaužimas prasidėjo nuo kruopščiai sukurto sukčiavimo paketo, kuris apsimetė VPN sąskaita faktūra, siekiant apgauti auką ir priversti ją atidaryti kenkėjišką archyvą.
Turinys
Pristatymas ir pradinis vykdymas
Užkrėtimas prasidėjo nuo ZIP archyvo, kuris buvo pateiktas kaip VPN įrangos sąskaita faktūra. Viduje buvo „Windows SCR“ failas, kurį paleidus, paleidžiama automatizuota trijų etapų vykdymo grandinė. Pirmasis etapas yra mažas lašintuvas, įdiegtas kaip „Golang“ dvejetainis failas. Šiame lašintuve yra trys įterptieji ištekliai, iš kurių vienas yra gerybinis PDF failas, rodomas vartotojui kaip masalas, kad kenkėjiška veikla fone vyktų nepastebimai.
Vykdymo grandinė
- Mažas „Golang“ lašintuvas (su įterptu PDF failu „masalas“ ir kitais naudingais failais)
- Krautuvo komponentas, pavadintas MemLoad
- Galutinis DLL serveris, pavadintas „HttpTroy“
Atkaklumas ir krautuvo elgesys
Įkrovimo programa „MemLoad“ veikia kartu su „dropper“ ir tvarko duomenų saugojimo bei naudingosios apkrovos diegimo funkcijas. Ji sukuria suplanuotą užduotį, pavadintą „AhnlabUpdate“ – akivaizdus bandymas mėgdžioti „AhnLab“, siekiant sumažinti įtarimą – ir naudoja šią užduotį, kad užtikrintų nuolatinį galinių durų įkėlimą. „MemLoad“ taip pat yra atsakinga už DLL galinių durų iššifravimą ir įterpimą į pagrindinio proceso erdvę vykdymui.
„The Backdoor“ teikiamos galimybės
- Įkelti ir atsisiųsti savavališkus failus į aukos kompiuterį ir iš jo
- Užfiksuokite darbalaukio ekrano kopijas
- Vykdykite komandas su padidintomis privilegijomis ir sukurkite atvirkštinius apvalkalus
- Įkelti ir vykdyti vykdomuosius failus tiesiai atmintyje (vykdymas be failų)
- Nutraukti procesus ir pašalinti veiklos pėdsakus
Komandų ir kontrolės bei tinklo elgsena
„HttpTroy“ bendrauja su savo valdikliu per paprastą HTTP protokolą, siųsdamas POST užklausas į C2 domeną, identifikuotą kaip load.auraria.org. Naudojant HTTP POST protokolą, tinklo srautas susilieja su įprastu interneto srautu, nebent būtų specialiai profiliuojamas.
Antianalizės ir obfuskacijos metodai
Implantas naudoja kelias sluoksniuotas maskavimo priemones, kad apsunkintų statinę analizę ir parašų aptikimą. Užuot užkodavęs API pavadinimus ir eilutes, jis slepia API iškvietimus naudodamas pasirinktines maišos procedūras ir tekstinius artefaktus naudodamas XOR ir SIMD stiliaus manipuliacijas. Svarbu tai, kad jis pakartotinai nenaudoja tų pačių maišos reikšmių ar eilučių koduotės – kenkėjiška programa operatyviai rekonstruoja reikiamas API maišas ir eilutes, naudodama įvairias aritmetines ir logines operacijas, o tai padidina atvirkštinės inžinerijos ir parašų kūrimo kainą.
Priskyrimas ir kontekstas
Elgesio rodikliai ir taikiniai sieja šią veiklą su „Kimsuky“. Panašu, kad ataka buvo tikslinis sukčiavimas, nukreiptas prieš Pietų Korėjos gavėją. Tikslaus incidento laiko tyrėjai neatskleidė.
Išvada
Siekdamos aptikti ir sušvelninti galimas su „HttpTroy“ susijusias infekcijas, organizacijos turėtų atidžiai stebėti savo sistemas, ar nėra įtartinų suplanuotų užduočių, ypač tų, kurios maskuojamos kaip teisėti tiekėjo atnaujinimai. Tinklo apsauga turėtų būti sukonfigūruota taip, kad atpažintų ir pažymėtų HTTP POST ryšius, nukreiptus į nežinomus arba neįprastus išorinius domenus, kad būtų galima išsamiau patikrinti perduotus duomenis, kai įmanoma.
Saugumo komandoms taip pat patariama apriboti arba blokuoti netikėtų SCR failų ir neatpažintų „Golang“ dvejetainių failų vykdymą visuose galiniuose įrenginiuose. Be to, diegiant patikimus galinių įrenginių apsaugos sprendimus, gebančius atpažinti kodo vykdymą atmintyje ir aptikti anomalų procesų įterpimo aktyvumą, galima gerokai sumažinti kompromitavimo riziką.
