HttpTroy ब्याकडोर

किमसुकीको रूपमा ट्र्याक गरिएको उत्तर कोरियासँग सम्बन्धित अभिनेतालाई दक्षिण कोरियामा एकल लक्ष्य विरुद्ध 'HttpTroy' को रूपमा ट्र्याक गरिएको पहिले नदेखिएको ब्याकडोर डेलिभर गर्दै गरेको देखिएको छ। खुलासामा समयरेखा समावेश गरिएको थिएन, तर अनुसन्धानकर्ताहरूले रिपोर्ट गरेका छन् कि घुसपैठ सावधानीपूर्वक बनाइएको फिसिङ प्याकेजबाट सुरु भएको थियो जसले पीडितलाई दुर्भावनापूर्ण अभिलेख खोल्न छल गर्न VPN इनभ्वाइसको नक्कल गर्‍यो।

डेलिभरी र प्रारम्भिक कार्यान्वयन

यो संक्रमण एउटा ZIP अभिलेखबाट सुरु भयो जुन VPN उपकरणको लागि इनभ्वाइसको रूपमा प्रस्तुत गरिएको थियो। भित्र एउटा Windows SCR फाइल थियो जुन कार्यान्वयन गर्दा, स्वचालित तीन-चरण कार्यान्वयन श्रृंखला सुरु भयो। पहिलो चरण गोलङ बाइनरीको रूपमा लागू गरिएको सानो ड्रपर हो। त्यो ड्रपरले तीनवटा एम्बेडेड स्रोतहरू बोक्छ, जसमध्ये एउटा प्रयोगकर्तालाई नक्कलीको रूपमा देखाइएको सौम्य PDF हो ताकि दुर्भावनापूर्ण गतिविधि पृष्ठभूमिमा बेवास्ता गरियो।

कार्यान्वयन शृङ्खला

• सानो गोलङ ड्रपर (इम्बेडेड डिकोय पीडीएफ र अन्य पेलोडहरू समावेश गर्दछ)
• मेमलोड नामक लोडर कम्पोनेन्ट
• अन्तिम DLL ब्याकडोर डब गरिएको HttpTroy

दृढता र लोडर व्यवहार

लोडर, MemLoad, ड्रपरसँग एकैसाथ चल्छ र पर्सिस्टन्स र पेलोड डिप्लोयमेन्ट ह्यान्डल गर्छ। यसले 'AhnlabUpdate' लेबल गरिएको एक निर्धारित कार्य सिर्जना गर्दछ - शंका कम गर्न AhnLab को नक्कल गर्ने स्पष्ट प्रयास - र ब्याकडोर निरन्तर आधारमा लोड भएको सुनिश्चित गर्न त्यो कार्य प्रयोग गर्दछ। MemLoad कार्यान्वयनको लागि होस्ट प्रक्रिया ठाउँमा DLL ब्याकडोर डिक्रिप्ट र इन्जेक्ट गर्न पनि जिम्मेवार छ।

ब्याकडोर द्वारा प्रदान गरिएका क्षमताहरू

• पीडित होस्टमा/बाट मनमानी फाइलहरू अपलोड र डाउनलोड गर्नुहोस्
• डेस्कटपको स्क्रिनसटहरू खिच्नुहोस्
• उच्च विशेषाधिकारहरू सहित आदेशहरू कार्यान्वयन गर्नुहोस् र रिभर्स शेलहरू स्पोन गर्नुहोस्
• मेमोरीमा सिधै कार्यान्वयनयोग्यहरू लोड र चलाउनुहोस् (फाइलरहित कार्यान्वयन)
• प्रक्रियाहरू समाप्त गर्नुहोस् र गतिविधिका निशानहरू हटाउनुहोस्

आदेश-र-नियन्त्रण र नेटवर्क व्यवहार

HttpTroy ले load.aurria.org को रूपमा पहिचान गरिएको C2 डोमेनमा POST अनुरोधहरू पठाएर प्लेन HTTP मार्फत आफ्नो नियन्त्रकसँग सञ्चार गर्छ। HTTP POST को प्रयोगले नेटवर्क ट्राफिकलाई सामान्य वेब ट्राफिकसँग मिसाउँछ जबसम्म विशेष रूपमा प्रोफाइल गरिएको हुँदैन।

विश्लेषण विरोधी र अस्पष्टीकरण प्रविधिहरू

इम्प्लान्टले स्थिर विश्लेषण र हस्ताक्षर पत्ता लगाउन धेरै स्तरित अस्पष्टता उपायहरू प्रयोग गर्दछ। API नामहरू र स्ट्रिङहरूलाई हार्डकोड गर्नुको सट्टा, यसले अनुकूलन ह्यास दिनचर्याहरू मार्फत API कलहरू लुकाउँछ र XOR र SIMD-शैली हेरफेरहरूको साथ पाठ्य कलाकृतिहरू लुकाउँछ। महत्त्वपूर्ण कुरा, यसले समान ह्यास गरिएको मानहरू वा स्ट्रिङ एन्कोडिङहरू पुन: प्रयोग गर्दैन - मालवेयरले फरक अंकगणित र तार्किक अपरेशनहरू प्रयोग गरेर आवश्यक API ह्यासहरू र स्ट्रिङहरू पुन: निर्माण गर्दछ, जसले रिभर्स इन्जिनियरिङ र हस्ताक्षर सिर्जनाको लागत बढाउँछ।

विशेषता र सन्दर्भ

व्यवहार सूचकहरू र लक्ष्यीकरणले गतिविधिलाई किमसुकीसँग मिल्दोजुल्दो बनाउँछ। यो आक्रमण दक्षिण कोरियाली प्राप्तकर्तालाई लक्षित गरी गरिएको लक्षित भाला-फिस जस्तो देखिन्छ। अनुसन्धानकर्ताहरूले घटनाको सही समय सार्वजनिक गरेनन्।

निष्कर्ष

HttpTroy सँग सम्बन्धित सम्भावित संक्रमणहरू पत्ता लगाउन र कम गर्न, संस्थाहरूले कुनै पनि शंकास्पद निर्धारित कार्यहरूको लागि आफ्नो प्रणालीहरूको नजिकबाट निगरानी गर्नुपर्छ, विशेष गरी ती कार्यहरू जुन वैध विक्रेता अद्यावधिकहरूको रूपमा लुकाउँछन्। नेटवर्क प्रतिरक्षाहरू अज्ञात वा असामान्य बाह्य डोमेनहरूमा निर्देशित HTTP POST सञ्चारहरू पहिचान गर्न र फ्ल्याग गर्न कन्फिगर गरिनुपर्छ, सम्भव भएसम्म प्रसारित डेटाको गहन निरीक्षणलाई अनुमति दिँदै।

सुरक्षा टोलीहरूलाई अन्त्य बिन्दुहरूमा अप्रत्याशित SCR फाइलहरू र अपरिचित गोलङ बाइनरीहरूको कार्यान्वयनलाई प्रतिबन्धित वा रोक्न पनि सल्लाह दिइन्छ। थप रूपमा, इन-मेमोरी कोड कार्यान्वयन पहिचान गर्न र असामान्य प्रक्रिया इंजेक्शन गतिविधि पत्ता लगाउन सक्षम बलियो अन्त्य बिन्दु सुरक्षा समाधानहरू तैनाथ गर्नाले सम्झौताको जोखिमलाई उल्लेखनीय रूपमा कम गर्न सक्छ।