Killua Backdoor

O Killua é uma ameaça secreta implantada por atores de ameaças em uma campanha contra organizações do Kuwait da indústria de transporte e navegação. A ameaça faz parte de um kit de ferramentas customizado com diferentes ameaças recebendo nomes de personagens da popular série de mangá e anime 'Hunter x Hunter' - Sakabota, Hisoka, Gon, Killua e Netero.

Funcionalmente, o backdoor Killua representa uma versão atualizada e modificada do backdoor Hisoka. Ao contrário de Hisoka, porém, ele foi escrito em Visual C ++ e não em C #. Uma vez dentro do computador de destino, o Killua injeta sua configuração no Registro do sistema por meio das seguintes chaves do Registro:

• HKCU\Painel de Controle\Internacional\_ID:
• HKCU\Control Panel\International\_EndPoint: "learn-service[.]com"
• HKCU\Control Panel\International\_Resolver_Server:"
• HKCU\Control Panel\International\_Response: "180
• HKCU\Control Panel\International\_Step: "3"

O principal objetivo da ameaça é estabelecer comunicação com a infraestrutura de comando e controle dos hackers. Para fazer isso, o Killua só pode usar consultas de túnel DNS feitas usando sua ferramenta interna 'nslookup'. O canal de comunicação é iniciado pelo Killua enviando uma consulta de beacon que contém um ID exclusivo como o subdomínio que representa o sistema comprometido específico. Os dados transferidos são primeiro criptografados com XOR e depois codificados com base64.

O Killua procura comandos específicos antes de iniciar qualquer funcionalidade adicional. Os comandos que ele reconhece são - R, -doer, -S, -status, -change, -id, -resolver, -help .