HttpTroy Backdoor
Ar Ziemeļkoreju saistīts aktieris, kas izsekots kā Kimsuky, ir novērots, piegādājot iepriekš neredzētu aizmugurējo durvju sistēmu ar nosaukumu “HttpTroy” pret vienu mērķi Dienvidkorejā. Atklātajā ziņojumā nebija iekļauts laika grafiks, taču pētnieki ziņo, ka ielaušanās sākās ar rūpīgi izstrādātu pikšķerēšanas pakotni, kas atdarināja VPN rēķinu, lai apmānītu upuri, lai tas atvērtu ļaunprātīgo arhīvu.
Satura rādītājs
Piegāde un sākotnējā izpilde
Infekcija sākās ar ZIP arhīvu, kas izlikās par VPN aprīkojuma rēķinu. Tajā atradās Windows SCR fails, kas, izpildot, iedarbināja automatizētu trīspakāpju izpildes ķēdi. Pirmais posms ir neliels pilinātājs, kas ieviests kā Golang binārais fails. Šajā pilinātājā ir trīs iegulti resursi, no kuriem viens ir labdabīgs PDF fails, kas tiek parādīts lietotājam kā māneklis, lai ļaunprātīgā darbība fonā noritētu nepamanīta.
Izpildes ķēde
- Mazs Golang pilinātājs (satur iegultu mānekļa PDF failu un citus lietderīgos datus)
- Ielādētāja komponents ar nosaukumu MemLoad
- Pēdējā DLL aizmugurējā durvis ar nosaukumu HttpTroy
Noturība un iekrāvēja uzvedība
Ielādētājs MemLoad darbojas vienlaicīgi ar nomešanas rīku un apstrādā noturību un vērtuma izvietošanu. Tas izveido ieplānotu uzdevumu ar nosaukumu “AhnlabUpdate” — acīmredzams mēģinājums atdarināt AhnLab, lai mazinātu aizdomas — un izmanto šo uzdevumu, lai nodrošinātu, ka aizmugurējās durvis tiek ielādētas nepārtraukti. MemLoad ir atbildīgs arī par DLL aizmugurējo durvju atšifrēšanu un ievietošanu resursdatora procesa telpā izpildei.
Aizmugurējās durvis sniegtās iespējas
- Augšupielādēt un lejupielādēt patvaļīgus failus uz/no upura resursdatora
- Uzņemiet darbvirsmas ekrānuzņēmumus
- Izpildiet komandas ar paaugstinātām privilēģijām un ģenerējiet apgrieztās čaulas
- Ielādēt un palaist izpildāmos failus tieši atmiņā (bezfailu izpilde)
- Pārtraukt procesus un noņemt darbības pēdas
Komandvadība un tīkla uzvedība
HttpTroy sazinās ar savu kontrolieri, izmantojot vienkāršu HTTP protokolu, nosūtot POST pieprasījumus uz C2 domēnu, kas identificēts kā load.auraria.org. Izmantojot HTTP POST protokolu, tīkla datplūsma saplūst ar parasto tīmekļa datplūsmu, ja vien tā nav īpaši profilēta.
Antianalīzes un apmulsināšanas metodes
Implants izmanto vairākus slāņveida slēpšanas pasākumus, lai kavētu statisko analīzi un parakstu noteikšanu. Tā vietā, lai cietkodētu API nosaukumus un virknes, tas slēpj API izsaukumus, izmantojot pielāgotas jaucējkoda rutīnas, un slēpj teksta artefaktus ar XOR un SIMD stila manipulācijām. Svarīgi ir tas, ka tas atkārtoti neizmanto vienas un tās pašas jaucējkoda vērtības vai virkņu kodējumus — ļaunprogrammatūra rekonstruē nepieciešamos API jaucējkodas un virknes acumirklī, izmantojot dažādas aritmētiskās un loģiskās darbības, kas palielina reversās inženierijas un parakstu izveides izmaksas.
Atribūcija un konteksts
Uzvedības indikatori un mērķtiecīga rīcība sasaista šo aktivitāti ar Kimsuky. Šķiet, ka uzbrukums bija mērķtiecīga šķēpa tipa pikšķerēšana, kas vērsta pret Dienvidkorejas saņēmēju. Pētnieki neatklāja precīzu incidenta laiku.
Secinājums
Lai atklātu un mazinātu iespējamās infekcijas, kas saistītas ar HttpTroy, organizācijām rūpīgi jāuzrauga savas sistēmas, lai konstatētu aizdomīgus ieplānotus uzdevumus, jo īpaši tos, kas maskējas kā likumīgi pārdevēja atjauninājumi. Tīkla aizsardzība jākonfigurē tā, lai identificētu un atzīmētu HTTP POST saziņu, kas vērsta uz nezināmiem vai neparastiem ārējiem domēniem, ļaujot pēc iespējas padziļinātāk pārbaudīt pārsūtītos datus.
Drošības komandām ieteicams arī ierobežot vai bloķēt negaidītu SCR failu un neatpazītu Golang bināro failu izpildi galapunktos. Turklāt spēcīgu galapunktu aizsardzības risinājumu ieviešana, kas spēj identificēt koda izpildi atmiņā un atklāt anomālas procesa injekcijas aktivitātes, var ievērojami samazināt kompromitēšanas risku.
