Killua Backdoor

Killua is een achterdeurdreiging die wordt ingezet door dreigingsactoren in een campagne tegen Koeweitse organisaties uit de transport- en scheepvaartsector. De dreiging maakt deel uit van een op maat gemaakte toolkit waarin verschillende dreigingen de namen krijgen van personages uit de populaire manga- en anime-serie 'Hunter x Hunter' - Sakabota, Hisoka, Gon, Killua en Netero.

Functioneel vertegenwoordigt de Killua Backdoor een bijgewerkte en aangepaste versie van de Hisoka backdoor. In tegenstelling tot Hisoka was het echter geschreven in Visual C ++ en niet in C #. Eenmaal binnen de beoogde computer, injecteert Killua zijn configuratie in het register van het systeem via de volgende registersleutels:

• HKCU \ Control Panel \ International \ _ID:
• HKCU \ Control Panel \ International \ _EndPoint: "learn-service [.] Com"
• HKCU \ Configuratiescherm \ Internationaal \ _Resolver_Server: ""
• HKCU \ Control Panel \ International \ _Response: "180"
• HKCU \ Control Panel \ International \ _Step: "3"

Het belangrijkste doel van de dreiging is om communicatie tot stand te brengen met de Command-and-Control-infrastructuur van de hackers. Om dit te doen, kan Killua alleen DNS-tunnelingquery's gebruiken die zijn gemaakt met behulp van de ingebouwde 'nslookup'-tool. Het communicatiekanaal wordt geïnitieerd doordat Killua een beacon-query verzendt die een uniek ID bevat als het subdomein dat het specifieke gecompromitteerde systeem vertegenwoordigt. De overgedragen gegevens worden eerst gecodeerd met XOR en vervolgens gecodeerd met base64.

Killua zoekt naar specifieke commando's voordat het enige aanvullende functionaliteit kan initiëren. De commando's die het herkent zijn - R, -doer, -S, -status, -change, -id, -resolver, -help .