Zadné vrátka HttpTroy
Aktér spojený so Severnou Kóreou sledovaný ako Kimsuky bol pozorovaný pri útoku na jeden cieľ v Južnej Kórei prostredníctvom doteraz nevideného zadného vrátka sledovaného ako „HttpTroy“. Zverejnenie neobsahovalo časový harmonogram, ale výskumníci uvádzajú, že prienik sa začal starostlivo vytvoreným phishingovým balíkom, ktorý sa vydával za faktúru VPN, aby obeť oklamal a prinútil ju otvoriť škodlivý archív.
Obsah
Dodanie a počiatočné prevedenie
Infekcia začala ZIP archívom, ktorý sa vydával za faktúru za VPN zariadenie. Vo vnútri sa nachádzal súbor Windows SCR, ktorý po spustení spustil automatizovaný trojstupňový reťazec vykonávania. Prvou fázou je malý dropper implementovaný ako binárny súbor Golang. Tento dropper obsahuje tri vložené zdroje, z ktorých jeden je neškodný PDF súbor zobrazený používateľovi ako návnada, takže škodlivá aktivita prebieha bez povšimnutia na pozadí.
Reťazec vykonávania
- Malý kvapkadlo Golang (obsahuje vložený PDF súbor s návnadou a ďalšie užitočné zaťaženie)
- Komponent zavádzača s názvom MemLoad
- Finálny zadný vrátok DLL s názvom HttpTroy
Perzistencia a správanie zavádzača
Zavádzač MemLoad beží súbežne s dropperom a zabezpečuje perzistenciu a nasadenie užitočného zaťaženia. Vytvorí naplánovanú úlohu s označením „AhnlabUpdate“ – zjavný pokus napodobniť AhnLab s cieľom znížiť podozrenie – a túto úlohu používa na zabezpečenie priebežného načítavania zadných vrátok. MemLoad je tiež zodpovedný za dešifrovanie a vkladanie zadných vrátok DLL do priestoru hostiteľského procesu na vykonanie.
Možnosti poskytované zadnými vrátkami
- Nahrávanie a sťahovanie ľubovoľných súborov do/z hostiteľa obete
- Zachytávanie snímok obrazovky pracovnej plochy
- Vykonávať príkazy so zvýšenými oprávneniami a spúšťať reverzné shell-y
- Načítanie a spustenie spustiteľných súborov priamo v pamäti (bezsúborové spustenie)
- Ukončiť procesy a odstrániť stopy aktivity
Príkazové riadenie a správanie siete
HttpTroy komunikuje so svojím ovládačom cez obyčajný HTTP protokol odosielaním POST požiadaviek do domény C2 identifikovanej ako load.auraria.org. Použitie HTTP POST spôsobuje, že sieťová prevádzka sa mieša s bežnou webovou prevádzkou, pokiaľ nie je špeciálne profilovaná.
Techniky antianalýzy a zahmlievania
Implantát využíva niekoľko vrstvených obfuskačných opatrení na zmarenie statickej analýzy a detekcie podpisov. Namiesto pevného kódovania názvov a reťazcov API skrýva volania API pomocou vlastných hašovacích rutín a textové artefakty zakrýva manipuláciami v štýle XOR a SIMD. Dôležité je, že opakovane nepoužíva rovnaké hašované hodnoty ani kódovanie reťazcov – malvér rekonštruuje požadované haše a reťazce API za chodu pomocou rôznych aritmetických a logických operácií, čo zvyšuje náklady na reverzné inžinierstvo a vytváranie podpisov.
Pripisovanie a kontext
Behaviorálne indikátory a cielenie zodpovedajú aktivite Kimsuky. Útok sa javí ako cielený spear-phishing zameraný na juhokórejského príjemcu. Presný čas incidentu výskumníci nezverejnili.
Záver
Aby sa odhalili a zmiernili potenciálne infekcie súvisiace s HttpTroy, organizácie by mali dôkladne monitorovať svoje systémy, či neobsahujú akékoľvek podozrivé naplánované úlohy, najmä tie, ktoré sa maskujú ako legitímne aktualizácie dodávateľov. Sieťová ochrana by mala byť nakonfigurovaná tak, aby identifikovala a označila komunikáciu HTTP POST smerovanú na neznáme alebo nezvyčajné externé domény, čo by umožnilo hlbšiu kontrolu prenášaných údajov, ak je to možné.
Bezpečnostným tímom sa tiež odporúča obmedziť alebo blokovať vykonávanie neočakávaných súborov SCR a nerozpoznaných binárnych súborov Golang na koncových bodoch. Okrem toho nasadenie robustných riešení ochrany koncových bodov schopných identifikovať vykonávanie kódu v pamäti a detegovať anomálnu aktivitu vkladania procesov môže výrazne znížiť riziko kompromitácie.
