HttpTroy Backdoor
Ugrupowanie powiązane z Koreą Północną, śledzone jako Kimsuky, zostało zauważone, dostarczając nieznanego wcześniej backdoora, śledzonego jako „HttpTroy”, do jednego celu w Korei Południowej. Ujawnienie nie zawierało chronologii, ale badacze twierdzą, że włamanie rozpoczęło się od starannie przygotowanego pakietu phishingowego, podszywającego się pod fakturę VPN, aby nakłonić ofiarę do otwarcia złośliwego archiwum.
Spis treści
Dostawa i początkowe wykonanie
Infekcja rozpoczęła się od archiwum ZIP, które podszywało się pod fakturę za sprzęt VPN. Wewnątrz znajdował się plik SCR systemu Windows, który po uruchomieniu uruchamiał zautomatyzowany, trzyetapowy łańcuch wykonywania. Pierwszym etapem był niewielki dropper zaimplementowany jako plik binarny Golang. Dropper ten zawierał trzy osadzone zasoby, z których jeden to nieszkodliwy plik PDF, wyświetlany użytkownikowi jako przynęta, dzięki czemu szkodliwa aktywność przebiegała niezauważona w tle.
Łańcuch wykonawczy
- Mały dropper Golang (zawiera osadzony plik PDF-a i inne ładunki)
- Komponent ładowarki o nazwie MemLoad
- Ostateczny backdoor biblioteki DLL nazwany HttpTroy
Trwałość i zachowanie ładowarki
Program ładujący MemLoad działa równolegle z dropperem i zajmuje się trwałością oraz wdrażaniem ładunku. Tworzy zaplanowane zadanie o nazwie „AhnlabUpdate” – oczywista próba naśladowania AhnLab w celu zmniejszenia podejrzeń – i wykorzystuje je do zapewnienia ciągłego ładowania backdoora. MemLoad odpowiada również za odszyfrowanie i wstrzyknięcie backdoora DLL do przestrzeni procesu hosta w celu wykonania.
Możliwości zapewniane przez tylne drzwi
- Przesyłaj i pobieraj dowolne pliki do/z hosta ofiary
- Zrób zrzuty ekranu pulpitu
- Wykonuj polecenia z podwyższonymi uprawnieniami i twórz powłoki odwrotne
- Ładowanie i uruchamianie plików wykonywalnych bezpośrednio w pamięci (wykonywanie bezplikowe)
- Zakończ procesy i usuń ślady aktywności
Polecenia i kontrola oraz zachowanie sieciowe
HttpTroy komunikuje się ze swoim kontrolerem za pomocą zwykłego protokołu HTTP, wysyłając żądania POST do domeny C2 zidentyfikowanej jako load.auraria.org. Użycie żądania POST HTTP powoduje, że ruch sieciowy miesza się ze zwykłym ruchem internetowym, chyba że zostanie to specjalnie wyprofilowane.
Techniki antyanalizy i zaciemniania
Implant wykorzystuje kilka warstwowych metod zaciemniania, aby utrudnić analizę statyczną i wykrywanie sygnatur. Zamiast kodowania nazw i ciągów API na sztywno, ukrywa wywołania API za pomocą niestandardowych procedur haszujących i ukrywa artefakty tekstowe za pomocą manipulacji w stylu XOR i SIMD. Co ważne, nie wykorzystuje ponownie tych samych wartości haszowanych ani kodowań ciągów — złośliwe oprogramowanie rekonstruuje wymagane skróty API i ciągi w locie, wykorzystując różne operacje arytmetyczne i logiczne, co zwiększa koszty inżynierii wstecznej i tworzenia sygnatur.
Atrybucja i kontekst
Wskaźniki behawioralne i targetowanie wskazują na związek tej aktywności z atakiem Kimsuky. Atak wydaje się być ukierunkowanym atakiem spear phishingowym skierowanym na odbiorcę z Korei Południowej. Dokładny czas incydentu nie został ujawniony przez badaczy.
Wniosek
Aby wykrywać i ograniczać potencjalne infekcje związane z HttpTroy, organizacje powinny uważnie monitorować swoje systemy pod kątem wszelkich podejrzanych zaplanowanych zadań, zwłaszcza tych podszywających się pod legalne aktualizacje dostawców. Należy skonfigurować zabezpieczenia sieciowe w celu identyfikowania i oznaczania komunikatów HTTP POST skierowanych do nieznanych lub nietypowych domen zewnętrznych, umożliwiając w miarę możliwości głębszą inspekcję przesyłanych danych.
Zespołom ds. bezpieczeństwa zaleca się również ograniczenie lub zablokowanie wykonywania nieoczekiwanych plików SCR i nierozpoznanych plików binarnych Golang na punktach końcowych. Ponadto wdrożenie solidnych rozwiązań do ochrony punktów końcowych, zdolnych do identyfikowania wykonywania kodu w pamięci i wykrywania nietypowych działań związanych z wstrzykiwaniem procesów, może znacznie zmniejszyć ryzyko naruszenia bezpieczeństwa.
