Pintu Belakang HttpTroy
Seorang pelakon berkaitan Korea Utara yang dijejaki sebagai Kimsuky telah diperhatikan menyampaikan pintu belakang yang sebelum ini tidak kelihatan, dijejaki sebagai 'HttpTroy,' terhadap satu sasaran di Korea Selatan. Pendedahan itu tidak termasuk garis masa, tetapi penyelidik melaporkan pencerobohan bermula dengan pakej pancingan data yang direka dengan teliti yang menyamar sebagai invois VPN untuk menipu mangsa supaya membuka arkib berniat jahat.
Isi kandungan
Penghantaran Dan Perlaksanaan Awal
Jangkitan bermula dengan arkib ZIP yang menyamar sebagai invois untuk peralatan VPN. Di dalamnya terdapat fail Windows SCR yang, apabila dilaksanakan, melancarkan rantaian pelaksanaan tiga peringkat automatik. Peringkat pertama ialah penitis kecil yang dilaksanakan sebagai binari Golang. Penitis itu membawa tiga sumber terbenam, salah satunya ialah PDF jinak yang ditunjukkan kepada pengguna sebagai umpan supaya aktiviti berniat jahat itu berjalan tanpa disedari di latar belakang.
Rantaian Pelaksanaan
- Penitis Golang kecil (mengandungi PDF umpan tertanam dan muatan lain)
- Komponen pemuat bernama MemLoad
- Pintu belakang DLL akhir digelar HttpTroy
Kegigihan Dan Tingkah Laku Pemuat
Pemuat, MemLoad, berjalan serentak dengan penitis dan mengendalikan kegigihan dan penggunaan muatan. Ia mencipta tugas berjadual berlabel 'AhnlabUpdate' — percubaan jelas untuk meniru AhnLab untuk mengurangkan syak wasangka — dan menggunakan tugas itu untuk memastikan pintu belakang dimuatkan secara berterusan. MemLoad juga bertanggungjawab untuk menyahsulit dan menyuntik pintu belakang DLL ke dalam ruang proses hos untuk pelaksanaan.
Keupayaan Disediakan Oleh The Backdoor
- Muat naik dan muat turun fail sewenang-wenangnya ke/daripada hos mangsa
- Tangkap tangkapan skrin desktop
- Laksanakan arahan dengan keistimewaan yang tinggi dan telurkan cengkerang terbalik
- Muatkan dan jalankan boleh laku secara langsung dalam ingatan (pelaksanaan tanpa fail)
- Tamatkan proses dan keluarkan kesan aktiviti
Perintah-dan-Kawalan Dan Gelagat Rangkaian
HttpTroy berkomunikasi dengan pengawalnya melalui HTTP biasa dengan menghantar permintaan POST ke domain C2 yang dikenal pasti sebagai load.auraria.org. Penggunaan HTTP POST menjadikan trafik rangkaian digabungkan dengan trafik web biasa melainkan diprofilkan secara khusus.
Teknik Anti-analisis Dan Kekeliruan
Implan menggunakan beberapa langkah pengeliruan berlapis untuk menggagalkan analisis statik dan pengesanan tandatangan. Daripada pengekodan keras nama dan rentetan API, ia menyembunyikan panggilan API melalui rutin cincang tersuai dan menyembunyikan artifak teks dengan manipulasi gaya XOR dan SIMD. Yang penting, ia tidak menggunakan semula nilai cincang atau pengekodan rentetan yang sama — perisian hasad membina semula cincang dan rentetan API yang diperlukan dengan segera menggunakan operasi aritmetik dan logik yang berbeza-beza, yang meningkatkan kos kejuruteraan terbalik dan penciptaan tandatangan.
Atribusi Dan Konteks
Penunjuk tingkah laku dan penyasaran menyelaraskan aktiviti dengan Kimsuky. Serangan itu nampaknya adalah spear-phish yang disasarkan yang ditujukan kepada penerima Korea Selatan. Masa sebenar kejadian itu tidak dikeluarkan oleh penyelidik.
Kesimpulan
Untuk mengesan dan mengurangkan kemungkinan jangkitan yang melibatkan HttpTroy, organisasi harus memantau sistem mereka dengan teliti untuk sebarang tugas berjadual yang mencurigakan, terutamanya yang menyamar sebagai kemas kini vendor yang sah. Pertahanan rangkaian harus dikonfigurasikan untuk mengenal pasti dan membenderakan komunikasi HTTP POST yang ditujukan kepada domain luaran yang tidak diketahui atau luar biasa, membolehkan pemeriksaan yang lebih mendalam terhadap data yang dihantar apabila boleh.
Pasukan keselamatan juga dinasihatkan untuk menyekat atau menyekat pelaksanaan fail SCR yang tidak dijangka dan binari Golang yang tidak diiktiraf merentas titik akhir. Selain itu, menggunakan penyelesaian perlindungan titik akhir yang mantap yang mampu mengenal pasti pelaksanaan kod dalam memori dan mengesan aktiviti suntikan proses anomali boleh mengurangkan risiko kompromi dengan ketara.
