Zadnja vrata HttpTroy
Opaženi so bili akter, povezan s Severno Korejo, ki so ga sledili kot Kimsukyja, kako je proti enemu samemu cilju v Južni Koreji namestil prej nevidena zadnja vrata, sledena kot »HttpTroy«. Razkritje ni vsebovalo časovnice, vendar raziskovalci poročajo, da se je vdor začel s skrbno izdelanim paketom za lažno predstavljanje, ki se je izdajal za račun VPN, da bi žrtev zavedel, da odpre zlonamerni arhiv.
Kazalo
Dobava in začetna izvedba
Okužba se je začela z ZIP arhivom, ki se je izdajal za račun za VPN opremo. V njem je bila datoteka Windows SCR, ki je ob zagonu sprožila avtomatizirano tristopenjsko verigo izvajanja. Prva faza je majhen snemalnik, implementiran kot binarna datoteka Golang. Ta snemalnik vsebuje tri vdelane vire, od katerih je eden neškodljiv PDF, ki se uporabniku prikaže kot vaba, tako da zlonamerna dejavnost neopaženo poteka v ozadju.
Izvedbena veriga
- Majhna kapalka Golang (vsebuje vdelano vabljivo datoteko PDF in druge koristne podatke)
- Komponenta nalagalnika z imenom MemLoad
- Končna DLL zadnja vrata z imenom HttpTroy
Vztrajnost in vedenje nalagalnika
Nalagalnik MemLoad teče sočasno z odlagalnikom in upravlja vztrajnost ter uvajanje koristnega tovora. Ustvari načrtovano nalogo z oznako »AhnlabUpdate« – očiten poskus posnemanja AhnLaba za zmanjšanje suma – in to nalogo uporablja za zagotovitev, da se zadnja vrata nenehno nalagajo. MemLoad je odgovoren tudi za dešifriranje in vbrizgavanje DLL-zadnjih vrat v prostor gostiteljskega procesa za izvedbo.
Zmogljivosti, ki jih ponujajo zadnja vrata
- Nalaganje in prenos poljubnih datotek na/z gostitelja žrtve
- Zajemite posnetke zaslona namizja
- Izvajanje ukazov s povišanimi privilegiji in ustvarjanje obratnih lupin
- Nalaganje in zagon izvedljivih datotek neposredno v pomnilnik (izvajanje brez datotek)
- Zaključite procese in odstranite sledi aktivnosti
Upravljanje in nadzor ter vedenje omrežja
HttpTroy komunicira s svojim krmilnikom prek navadnega HTTP-ja tako, da pošilja zahteve POST na domeno C2, identificirano kot load.auraria.org. Uporaba HTTP POST-a povzroči, da se omrežni promet meša z običajnim spletnim prometom, razen če je to posebej profilirano.
Tehnike protianalize in zamegljevanja
Vsadek uporablja več večplastnih ukrepov za zakrivanje, da bi preprečil statično analizo in zaznavanje podpisov. Namesto trdega kodiranja imen in nizov API-jev skriva klice API-jev prek prilagojenih zgoščevalnih rutin in prikriva besedilne artefakte z manipulacijami v slogu XOR in SIMD. Pomembno je, da ne uporablja ponovno istih zgoščenih vrednosti ali kodiranj nizov – zlonamerna programska oprema sproti rekonstruira potrebne zgoščene vrednosti in nize API-jev z uporabo različnih aritmetičnih in logičnih operacij, kar poveča stroške obratnega inženiringa in ustvarjanja podpisov.
Pripisovanje in kontekst
Vedenjski kazalniki in ciljanje povezujejo aktivnost s Kimsukyjem. Zdi se, da je napad ciljno usmerjeno lažno predstavljanje, usmerjeno na južnokorejskega prejemnika. Natančnega časa incidenta raziskovalci niso razkrili.
Zaključek
Za odkrivanje in ublažitev morebitnih okužb, ki vključujejo HttpTroy, bi morale organizacije skrbno spremljati svoje sisteme glede morebitnih sumljivih načrtovanih opravil, zlasti tistih, ki se maskirajo kot legitimne posodobitve prodajalcev. Omrežna obramba bi morala biti konfigurirana tako, da prepozna in označi komunikacije HTTP POST, usmerjene na neznane ali nenavadne zunanje domene, kar omogoča podrobnejši pregled prenesenih podatkov, kadar je to mogoče.
Varnostnim ekipam se svetuje tudi, da omejijo ali blokirajo izvajanje nepričakovanih datotek SCR in neprepoznanih binarnih datotek Golang na končnih točkah. Poleg tega lahko uvedba robustnih rešitev za zaščito končnih točk, ki so sposobne prepoznati izvajanje kode v pomnilniku in zaznati nepravilno aktivnost vbrizgavanja procesov, znatno zmanjša tveganje za ogrožanje.
