Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware HttpTroy Backdoor

HttpTroy Backdoor

Nga MezoMalware, Dyer të pasme
Përkthe në:

Një aktor i lidhur me Korenë e Veriut, i gjurmuar si Kimsuky, është vërejtur duke përdorur një derë të pasme të paparë më parë, të gjurmuar si 'HttpTroy', kundër një objektivi të vetëm në Korenë e Jugut. Zbulimi nuk përfshinte një afat kohor, por studiuesit raportojnë se ndërhyrja filloi me një paketë phishing të hartuar me kujdes që imitonte një faturë VPN për të mashtruar viktimën që të hapte arkivin keqdashës.

Dorëzimi dhe Ekzekutimi Fillestar

Infeksioni filloi me një arkiv ZIP që paraqitej si një faturë për pajisje VPN. Brenda ishte një skedar SCR i Windows që, kur ekzekutohej, niste një zinxhir ekzekutimi automatik me tre faza. Faza e parë është një dropper i vogël i implementuar si një binar Golang. Ky dropper mbart tre burime të integruara, njëri prej të cilëve është një PDF i mirë që i tregohet përdoruesit si një karrem, kështu që aktiviteti keqdashës zhvillohet pa u vënë re në sfond.

Zinxhiri i Ekzekutimit

  • Pikësues i vogël Golang (përmban PDF të integruar me karrem dhe ngarkesa të tjera)
  • Komponenti i ngarkuesit me emrin MemLoad
  • DLL përfundimtar i prapavijës i quajtur HttpTroy

Këmbëngulja dhe Sjellja e Ngarkuesit

Ngarkuesi, MemLoad, funksionon njëkohësisht me dropper-in dhe trajton vendosjen e persistencës dhe ngarkesës së dobishme. Ai krijon një detyrë të planifikuar të emërtuar 'AhnlabUpdate' - një përpjekje e dukshme për të imituar AhnLab për të zvogëluar dyshimet - dhe e përdor atë detyrë për të siguruar që backdoor të ngarkohet vazhdimisht. MemLoad është gjithashtu përgjegjës për deshifrimin dhe injektimin e backdoor-it DLL në hapësirën e procesit pritës për ekzekutim.

Aftësitë e ofruara nga dera e pasme

  • Ngarkoni dhe shkarkoni skedarë arbitrarë te/nga hosti i viktimës
  • Kap pamje të ekranit të desktopit
  • Ekzekutoni komandat me privilegje të larta dhe krijoni shell-e të kundërta
  • Ngarko dhe ekzekuto skedarët ekzekutues direkt në memorie (ekzekutim pa skedarë)
  • Ndërpritni proceset dhe hiqni gjurmët e aktivitetit

Komanda-dhe-Kontrolli dhe Sjellja e Rrjetit

HttpTroy komunikon me kontrolluesin e tij nëpërmjet HTTP të thjeshtë duke dërguar kërkesa POST në një domen C2 të identifikuar si load.auraria.org. Përdorimi i HTTP POST bën që trafiku i rrjetit të përzihet me trafikun normal të uebit, përveç nëse profilizohet posaçërisht.

Teknikat e Anti-analizës dhe të Mjegullimit

Implanti përdor disa masa të shtresuara të errësimit për të penguar analizën statike dhe zbulimin e nënshkrimeve. Në vend që të kodojë emrat dhe vargjet e API-ve, ai fsheh thirrjet e API-ve nëpërmjet rutinave të personalizuara të hash-it dhe fsheh artefaktet tekstuale me manipulime në stilin XOR dhe SIMD. Është e rëndësishme të theksohet se nuk ripërdor të njëjtat vlera të hash-uara ose kodime vargjesh - malware rindërton hash-et dhe vargjet e kërkuara të API-ve menjëherë duke përdorur operacione të ndryshme aritmetike dhe logjike, gjë që rrit koston e inxhinierisë së kundërt dhe krijimit të nënshkrimeve.

Atribuimi dhe Konteksti

Treguesit e sjelljes dhe synimi e përafrojnë aktivitetin me Kimsuky-n. Sulmi duket të jetë një sulm me spear-phish i synuar ndaj një personi që ka marrë sulmin në Korenë e Jugut. Koha e saktë e incidentit nuk u bë e ditur nga studiuesit.

Përfundim

Për të zbuluar dhe zbutur infeksionet e mundshme që përfshijnë HttpTroy, organizatat duhet të monitorojnë nga afër sistemet e tyre për çdo detyrë të planifikuar të dyshimtë, veçanërisht ato që maskohen si përditësime legjitime të shitësve. Mbrojtjet e rrjetit duhet të konfigurohen për të identifikuar dhe sinjalizuar komunikimet HTTP POST të drejtuara në domene të jashtme të panjohura ose të pazakonta, duke lejuar inspektim më të thellë të të dhënave të transmetuara kur është e mundur.

Ekipet e sigurisë këshillohen gjithashtu të kufizojnë ose bllokojnë ekzekutimin e skedarëve të papritur SCR dhe binarëve të panjohur Golang në të gjitha pikat fundore. Përveç kësaj, vendosja e zgjidhjeve të fuqishme të mbrojtjes së pikave fundore të afta për të identifikuar ekzekutimin e kodit në memorie dhe për të zbuluar aktivitetin anormal të injektimit të procesit mund të zvogëlojë ndjeshëm rrezikun e kompromentimit.

Në trend

Më e shikuara

Po ngarkohet...