HttpTroy задња врата
Глумац повезан са Северном Корејом, праћен као Кимсуки, примећен је како испоручује раније невиђени бекдор, праћен као „HttpTroy“, против једне мете у Јужној Кореји. Откривање није укључивало временску линију, али истраживачи извештавају да је упад почео пажљиво направљеним фишинг пакетом који се лажно представљао као VPN фактура како би преварио жртву да отвори злонамерну архиву.
Преглед садржаја
Испорука и почетно извршење
Инфекција је почела са ZIP архивом која се представљала као фактура за VPN опрему. Унутра се налазила Windows SCR датотека која је, када се изврши, покренула аутоматизовани ланац извршавања у три фазе. Прва фаза је мали дропер имплементиран као Golang бинарна датотека. Тај дропер садржи три уграђена ресурса, од којих је један бенигни PDF који се кориснику приказује као мамац, тако да злонамерна активност пролази незапажено у позадини.
Ланац извршења
- Мала капаљка за Голанг (садржи уграђени ПДФ мамац и друге корисне садржаје)
- Компонента учитавања под називом MemLoad
- Коначни DLL бекдор назван HttpTroy
Упорност и понашање учитавача
Програм за учитавање, MemLoad, ради истовремено са програмом за учитавање и обрађује перзистентност и распоређивање корисног терета. Он креира заказани задатак под називом „AhnlabUpdate“ — очигледан покушај имитирања AhnLab-а како би се смањила сумња — и користи тај задатак да би осигурао континуирано учитавање задњег врата. MemLoad је такође одговоран за дешифровање и убризгавање задњег врата DLL-а у простор хост процеса ради извршавања.
Могућности које пружа задња врата
- Отпремајте и преузимајте произвољне датотеке на/са жртвеног хоста
- Снимање снимака екрана радне површине
- Извршавајте команде са повећаним привилегијама и покрећите обрнуте шкољке
- Учитавање и покретање извршних датотека директно у меморији (извршавање без датотека)
- Завршите процесе и уклоните трагове активности
Командовање и контрола и понашање мреже
HttpTroy комуницира са својим контролером преко обичног HTTP-а слањем POST захтева C2 домену идентификованом као load.auraria.org. Коришћење HTTP POST-а чини да се мрежни саобраћај меша са нормалним веб саобраћајем, осим ако није другачије профилисано.
Технике анти-анализа и обфускације
Имплант користи неколико слојевитих мера замагљивања како би онемогућио статичку анализу и детекцију потписа. Уместо хардкодирања имена и низова API-ја, он скрива API позиве путем прилагођених хеш рутина и прикрива текстуалне артефакте помоћу XOR и SIMD манипулација. Важно је напоменути да не поново користи исте хеширане вредности или кодирања низова — злонамерни софтвер реконструише потребне API хешеве и низове у ходу користећи различите аритметичке и логичке операције, што повећава трошкове реверзног инжењеринга и креирања потписа.
Атрибуција и контекст
Индикатори понашања и циљање повезују активност са нападом Кимсуки. Чини се да је напад био циљани „спеар-фишинг“ напад усмерен на јужнокорејског примаоца. Тачно време инцидента није објављено од стране истраживача.
Закључак
Да би откриле и ублажиле потенцијалне инфекције које укључују HttpTroy, организације треба пажљиво да прате своје системе у потрази за свим сумњивим заказаним задацима, посебно онима који се маскирају као легитимна ажурирања добављача. Мрежна одбрана треба да буде конфигурисана да идентификује и означи HTTP POST комуникације усмерене ка непознатим или неуобичајеним спољним доменима, омогућавајући дубљи преглед пренетих података када је то могуће.
Безбедносним тимовима се такође саветује да ограниче или блокирају извршавање неочекиваних SCR датотека и непрепознатих Golang бинарних датотека на крајњим тачкама. Поред тога, примена робусних решења за заштиту крајњих тачака способних да идентификују извршавање кода у меморији и открију аномалне активности убризгавања процеса може значајно смањити ризик од компромитовања.
