HttpTroy ਬੈਕਡੋਰ

ਕਿਮਸੁਕੀ ਵਜੋਂ ਟਰੈਕ ਕੀਤੇ ਗਏ ਇੱਕ ਉੱਤਰੀ ਕੋਰੀਆ ਨਾਲ ਜੁੜੇ ਅਦਾਕਾਰ ਨੂੰ ਦੱਖਣੀ ਕੋਰੀਆ ਵਿੱਚ ਇੱਕ ਨਿਸ਼ਾਨੇ ਦੇ ਵਿਰੁੱਧ 'HttpTroy' ਵਜੋਂ ਟਰੈਕ ਕੀਤੇ ਗਏ ਇੱਕ ਪਹਿਲਾਂ ਅਣਦੇਖੇ ਬੈਕਡੋਰ ਨੂੰ ਡਿਲੀਵਰ ਕਰਦੇ ਦੇਖਿਆ ਗਿਆ ਹੈ। ਖੁਲਾਸੇ ਵਿੱਚ ਕੋਈ ਸਮਾਂ-ਰੇਖਾ ਸ਼ਾਮਲ ਨਹੀਂ ਸੀ, ਪਰ ਖੋਜਕਰਤਾਵਾਂ ਦੀ ਰਿਪੋਰਟ ਹੈ ਕਿ ਘੁਸਪੈਠ ਇੱਕ ਧਿਆਨ ਨਾਲ ਤਿਆਰ ਕੀਤੇ ਫਿਸ਼ਿੰਗ ਪੈਕੇਜ ਨਾਲ ਸ਼ੁਰੂ ਹੋਈ ਸੀ ਜਿਸਨੇ ਪੀੜਤ ਨੂੰ ਖਤਰਨਾਕ ਪੁਰਾਲੇਖ ਖੋਲ੍ਹਣ ਲਈ ਧੋਖਾ ਦੇਣ ਲਈ ਇੱਕ VPN ਇਨਵੌਇਸ ਦੀ ਨਕਲ ਕੀਤੀ ਸੀ।

ਡਿਲੀਵਰੀ ਅਤੇ ਸ਼ੁਰੂਆਤੀ ਐਗਜ਼ੀਕਿਊਸ਼ਨ

ਇਹ ਇਨਫੈਕਸ਼ਨ ਇੱਕ ZIP ਆਰਕਾਈਵ ਨਾਲ ਸ਼ੁਰੂ ਹੋਇਆ ਜੋ VPN ਉਪਕਰਣਾਂ ਲਈ ਇੱਕ ਇਨਵੌਇਸ ਵਜੋਂ ਪੇਸ਼ ਕੀਤਾ ਗਿਆ ਸੀ। ਅੰਦਰ ਇੱਕ Windows SCR ਫਾਈਲ ਸੀ ਜਿਸਨੂੰ ਚਲਾਉਣ 'ਤੇ, ਇੱਕ ਆਟੋਮੇਟਿਡ ਤਿੰਨ-ਪੜਾਅ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਚੇਨ ਲਾਂਚ ਕੀਤੀ ਗਈ ਸੀ। ਪਹਿਲਾ ਪੜਾਅ ਗੋਲੰਗ ਬਾਈਨਰੀ ਦੇ ਰੂਪ ਵਿੱਚ ਲਾਗੂ ਕੀਤਾ ਗਿਆ ਇੱਕ ਛੋਟਾ ਡਰਾਪਰ ਹੈ। ਉਸ ਡਰਾਪਰ ਵਿੱਚ ਤਿੰਨ ਏਮਬੈਡਡ ਸਰੋਤ ਹੁੰਦੇ ਹਨ, ਜਿਨ੍ਹਾਂ ਵਿੱਚੋਂ ਇੱਕ ਇੱਕ ਸਧਾਰਨ PDF ਹੈ ਜੋ ਉਪਭੋਗਤਾ ਨੂੰ ਇੱਕ ਧੋਖਾਧੜੀ ਦੇ ਤੌਰ 'ਤੇ ਦਿਖਾਇਆ ਜਾਂਦਾ ਹੈ ਤਾਂ ਜੋ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀ ਪਿਛੋਕੜ ਵਿੱਚ ਅਣਦੇਖੀ ਚੱਲ ਸਕੇ।

ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਚੇਨ

• ਛੋਟਾ ਗੋਲੰਗ ਡਰਾਪਰ (ਇਸ ਵਿੱਚ ਏਮਬੈਡਡ ਡੀਕੋਏ ਪੀਡੀਐਫ ਅਤੇ ਹੋਰ ਪੇਲੋਡ ਸ਼ਾਮਲ ਹਨ)
• ਲੋਡਰ ਕੰਪੋਨੈਂਟ ਜਿਸਦਾ ਨਾਮ MemLoad ਹੈ
• ਅੰਤਿਮ DLL ਬੈਕਡੋਰ ਨੂੰ HttpTroy ਕਿਹਾ ਜਾਂਦਾ ਹੈ

ਦ੍ਰਿੜਤਾ ਅਤੇ ਲੋਡਰ ਵਿਵਹਾਰ

ਲੋਡਰ, MemLoad, ਡਰਾਪਰ ਦੇ ਨਾਲ ਨਾਲ ਚੱਲਦਾ ਹੈ ਅਤੇ ਸਥਿਰਤਾ ਅਤੇ ਪੇਲੋਡ ਤੈਨਾਤੀ ਨੂੰ ਸੰਭਾਲਦਾ ਹੈ। ਇਹ 'AhnlabUpdate' ਲੇਬਲ ਵਾਲਾ ਇੱਕ ਸ਼ਡਿਊਲਡ ਟਾਸਕ ਬਣਾਉਂਦਾ ਹੈ - ਸ਼ੱਕ ਨੂੰ ਘਟਾਉਣ ਲਈ AhnLab ਦੀ ਨਕਲ ਕਰਨ ਦੀ ਇੱਕ ਸਪੱਸ਼ਟ ਕੋਸ਼ਿਸ਼ - ਅਤੇ ਉਸ ਟਾਸਕ ਦੀ ਵਰਤੋਂ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਕਰਦਾ ਹੈ ਕਿ ਬੈਕਡੋਰ ਨਿਰੰਤਰ ਅਧਾਰ 'ਤੇ ਲੋਡ ਕੀਤਾ ਜਾਵੇ। MemLoad ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਲਈ ਹੋਸਟ ਪ੍ਰਕਿਰਿਆ ਸਪੇਸ ਵਿੱਚ DLL ਬੈਕਡੋਰ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਨ ਅਤੇ ਇੰਜੈਕਟ ਕਰਨ ਲਈ ਵੀ ਜ਼ਿੰਮੇਵਾਰ ਹੈ।

ਬੈਕਡੋਰ ਦੁਆਰਾ ਪ੍ਰਦਾਨ ਕੀਤੀਆਂ ਗਈਆਂ ਸਮਰੱਥਾਵਾਂ

• ਪੀੜਤ ਹੋਸਟ ਤੋਂ/ਤੋਂ ਮਨਮਾਨੇ ਫਾਈਲਾਂ ਨੂੰ ਅੱਪਲੋਡ ਅਤੇ ਡਾਊਨਲੋਡ ਕਰੋ
• ਡੈਸਕਟਾਪ ਦੇ ਸਕ੍ਰੀਨਸ਼ਾਟ ਕੈਪਚਰ ਕਰੋ
• ਉੱਚੇ ਅਧਿਕਾਰਾਂ ਨਾਲ ਕਮਾਂਡਾਂ ਚਲਾਓ ਅਤੇ ਰਿਵਰਸ ਸ਼ੈੱਲ ਪੈਦਾ ਕਰੋ
• ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਨੂੰ ਸਿੱਧਾ ਮੈਮੋਰੀ ਵਿੱਚ ਲੋਡ ਕਰੋ ਅਤੇ ਚਲਾਓ (ਫਾਈਲ ਰਹਿਤ ਐਗਜ਼ੀਕਿਊਸ਼ਨ)
• ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਖਤਮ ਕਰੋ ਅਤੇ ਗਤੀਵਿਧੀ ਦੇ ਨਿਸ਼ਾਨ ਹਟਾਓ

ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਅਤੇ ਨੈੱਟਵਰਕ ਵਿਵਹਾਰ

HttpTroy ਆਪਣੇ ਕੰਟਰੋਲਰ ਨਾਲ ਪਲੇਨ HTTP ਰਾਹੀਂ POST ਬੇਨਤੀਆਂ ਭੇਜ ਕੇ ਸੰਚਾਰ ਕਰਦਾ ਹੈ, ਜਿਸਨੂੰ load.aurria.org ਵਜੋਂ ਪਛਾਣਿਆ ਜਾਂਦਾ ਹੈ। HTTP POST ਦੀ ਵਰਤੋਂ ਨੈੱਟਵਰਕ ਟ੍ਰੈਫਿਕ ਨੂੰ ਆਮ ਵੈੱਬ ਟ੍ਰੈਫਿਕ ਨਾਲ ਮਿਲਾਉਂਦੀ ਹੈ ਜਦੋਂ ਤੱਕ ਕਿ ਖਾਸ ਤੌਰ 'ਤੇ ਪ੍ਰੋਫਾਈਲ ਨਾ ਕੀਤਾ ਜਾਵੇ।

ਵਿਸ਼ਲੇਸ਼ਣ-ਵਿਰੋਧੀ ਅਤੇ ਗੁੰਝਲਦਾਰ ਤਕਨੀਕਾਂ

ਇਹ ਇਮਪਲਾਂਟ ਸਥਿਰ ਵਿਸ਼ਲੇਸ਼ਣ ਅਤੇ ਦਸਤਖਤ ਖੋਜ ਨੂੰ ਨਿਰਾਸ਼ ਕਰਨ ਲਈ ਕਈ ਪਰਤਾਂ ਵਾਲੇ ਔਫਫਸਕੇਸ਼ਨ ਉਪਾਵਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। API ਨਾਮਾਂ ਅਤੇ ਸਤਰ ਨੂੰ ਹਾਰਡਕੋਡ ਕਰਨ ਦੀ ਬਜਾਏ, ਇਹ ਕਸਟਮ ਹੈਸ਼ ਰੁਟੀਨ ਰਾਹੀਂ API ਕਾਲਾਂ ਨੂੰ ਲੁਕਾਉਂਦਾ ਹੈ ਅਤੇ XOR ਅਤੇ SIMD-ਸ਼ੈਲੀ ਦੇ ਹੇਰਾਫੇਰੀ ਨਾਲ ਟੈਕਸਟੁਅਲ ਆਰਟੀਫੈਕਟਸ ਨੂੰ ਛੁਪਾਉਂਦਾ ਹੈ। ਮਹੱਤਵਪੂਰਨ ਗੱਲ ਇਹ ਹੈ ਕਿ ਇਹ ਉਹੀ ਹੈਸ਼ਡ ਮੁੱਲਾਂ ਜਾਂ ਸਟ੍ਰਿੰਗ ਏਨਕੋਡਿੰਗਾਂ ਦੀ ਮੁੜ ਵਰਤੋਂ ਨਹੀਂ ਕਰਦਾ ਹੈ - ਮਾਲਵੇਅਰ ਵੱਖ-ਵੱਖ ਅੰਕਗਣਿਤ ਅਤੇ ਲਾਜ਼ੀਕਲ ਓਪਰੇਸ਼ਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਲੋੜੀਂਦੇ API ਹੈਸ਼ਾਂ ਅਤੇ ਸਟ੍ਰਿੰਗਾਂ ਨੂੰ ਤੁਰੰਤ ਪੁਨਰਗਠਿਤ ਕਰਦਾ ਹੈ, ਜੋ ਰਿਵਰਸ ਇੰਜੀਨੀਅਰਿੰਗ ਅਤੇ ਦਸਤਖਤ ਬਣਾਉਣ ਦੀ ਲਾਗਤ ਨੂੰ ਵਧਾਉਂਦਾ ਹੈ।

ਵਿਸ਼ੇਸ਼ਤਾ ਅਤੇ ਸੰਦਰਭ

ਵਿਵਹਾਰਕ ਸੰਕੇਤਕ ਅਤੇ ਨਿਸ਼ਾਨਾ ਕਿਮਸੁਕੀ ਨਾਲ ਗਤੀਵਿਧੀ ਨੂੰ ਮੇਲ ਖਾਂਦੇ ਹਨ। ਇਹ ਹਮਲਾ ਦੱਖਣੀ ਕੋਰੀਆਈ ਪ੍ਰਾਪਤਕਰਤਾ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਕੇ ਕੀਤਾ ਗਿਆ ਇੱਕ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਗਿਆ ਬਰਛੀ-ਫਿਸ਼ ਜਾਪਦਾ ਹੈ। ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਘਟਨਾ ਦਾ ਸਹੀ ਸਮਾਂ ਜਾਰੀ ਨਹੀਂ ਕੀਤਾ ਗਿਆ।

ਸਿੱਟਾ

HttpTroy ਨਾਲ ਸਬੰਧਤ ਸੰਭਾਵੀ ਇਨਫੈਕਸ਼ਨਾਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਅਤੇ ਘਟਾਉਣ ਲਈ, ਸੰਗਠਨਾਂ ਨੂੰ ਕਿਸੇ ਵੀ ਸ਼ੱਕੀ ਅਨੁਸੂਚਿਤ ਕੰਮਾਂ ਲਈ ਆਪਣੇ ਸਿਸਟਮਾਂ ਦੀ ਨੇੜਿਓਂ ਨਿਗਰਾਨੀ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ ਉਹ ਜੋ ਜਾਇਜ਼ ਵਿਕਰੇਤਾ ਅੱਪਡੇਟ ਵਜੋਂ ਭੇਸ ਬਦਲਦੇ ਹਨ। ਨੈੱਟਵਰਕ ਰੱਖਿਆ ਨੂੰ ਅਣਜਾਣ ਜਾਂ ਅਸਧਾਰਨ ਬਾਹਰੀ ਡੋਮੇਨਾਂ 'ਤੇ ਨਿਰਦੇਸ਼ਿਤ HTTP POST ਸੰਚਾਰਾਂ ਦੀ ਪਛਾਣ ਕਰਨ ਅਤੇ ਫਲੈਗ ਕਰਨ ਲਈ ਕੌਂਫਿਗਰ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਜਦੋਂ ਵੀ ਸੰਭਵ ਹੋਵੇ ਪ੍ਰਸਾਰਿਤ ਡੇਟਾ ਦੀ ਡੂੰਘਾਈ ਨਾਲ ਜਾਂਚ ਕੀਤੀ ਜਾ ਸਕੇ।

ਸੁਰੱਖਿਆ ਟੀਮਾਂ ਨੂੰ ਇਹ ਵੀ ਸਲਾਹ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ ਕਿ ਉਹ ਅਣਪਛਾਤੇ SCR ਫਾਈਲਾਂ ਅਤੇ ਅਣਪਛਾਤੇ ਗੋਲੰਗ ਬਾਈਨਰੀਆਂ ਨੂੰ ਐਂਡਪੁਆਇੰਟਾਂ ਵਿੱਚ ਸੀਮਤ ਜਾਂ ਬਲਾਕ ਕਰਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਨ-ਮੈਮੋਰੀ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੀ ਪਛਾਣ ਕਰਨ ਅਤੇ ਅਸਾਧਾਰਨ ਪ੍ਰਕਿਰਿਆ ਇੰਜੈਕਸ਼ਨ ਗਤੀਵਿਧੀ ਦਾ ਪਤਾ ਲਗਾਉਣ ਦੇ ਸਮਰੱਥ ਮਜ਼ਬੂਤ ਐਂਡਪੁਆਇੰਟ ਸੁਰੱਖਿਆ ਹੱਲਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਨਾਲ ਸਮਝੌਤਾ ਹੋਣ ਦੇ ਜੋਖਮ ਨੂੰ ਕਾਫ਼ੀ ਹੱਦ ਤੱਕ ਘਟਾਇਆ ਜਾ ਸਕਦਾ ਹੈ।