HttpTroy பின்னணி

கிம்சுகியாகக் கண்காணிக்கப்படும் வட கொரியாவுடன் தொடர்புடைய நடிகர், தென் கொரியாவில் உள்ள ஒரு இலக்கிற்கு எதிராக, 'HttpTroy' என அறியப்படும், முன்னர் காணப்படாத பின்கதவைத் தாக்குவது கண்டறியப்பட்டுள்ளது. இந்த வெளிப்படுத்தலில் காலவரிசை இல்லை, ஆனால் ஆராய்ச்சியாளர்கள் ஊடுருவல் கவனமாக வடிவமைக்கப்பட்ட ஃபிஷிங் தொகுப்புடன் தொடங்கியதாகக் கூறுகின்றனர், இது பாதிக்கப்பட்டவரை தீங்கிழைக்கும் காப்பகத்தைத் திறக்க ஏமாற்ற VPN இன்வாய்ஸைப் போல ஆள்மாறாட்டம் செய்தது.

டெலிவரி மற்றும் ஆரம்ப செயல்படுத்தல்

VPN உபகரணங்களுக்கான விலைப்பட்டியலாகக் காட்டப்படும் ஒரு ZIP காப்பகத்துடன் தொற்று தொடங்கியது. உள்ளே ஒரு Windows SCR கோப்பு இருந்தது, அது செயல்படுத்தப்படும்போது, ஒரு தானியங்கி மூன்று-நிலை செயல்படுத்தல் சங்கிலியைத் தொடங்கியது. முதல் நிலை கோலாங் பைனரியாக செயல்படுத்தப்படும் ஒரு சிறிய டிராப்பர் ஆகும். அந்த டிராப்பர் மூன்று உட்பொதிக்கப்பட்ட வளங்களைக் கொண்டுள்ளது, அவற்றில் ஒன்று பயனருக்கு ஒரு ஏமாற்று வேலையாகக் காட்டப்படும் ஒரு தீங்கற்ற PDF ஆகும், எனவே தீங்கிழைக்கும் செயல்பாடு பின்னணியில் கவனிக்கப்படாமல் இயங்கும்.

மரணதண்டனை சங்கிலி

• சிறிய கோலாங் டிராப்பர் (உட்பொதிக்கப்பட்ட டிகோய் PDF மற்றும் பிற பேலோடுகளைக் கொண்டுள்ளது)
• MemLoad என பெயரிடப்பட்ட ஏற்றி கூறு
• HttpTroy என அழைக்கப்படும் இறுதி DLL பின்புறக் கதவு

விடாமுயற்சி மற்றும் ஏற்றி நடத்தை

MemLoad என்ற ஏற்றி, டிராப்பருடன் ஒரே நேரத்தில் இயங்குகிறது மற்றும் நிலைத்தன்மை மற்றும் பேலோட் வரிசைப்படுத்தலைக் கையாளுகிறது. இது 'AhnlabUpdate' என்று பெயரிடப்பட்ட ஒரு திட்டமிடப்பட்ட பணியை உருவாக்குகிறது - சந்தேகத்தைக் குறைக்க AhnLab ஐப் பிரதிபலிக்கும் ஒரு வெளிப்படையான முயற்சி - மேலும் பின்கதவு தொடர்ந்து ஏற்றப்படுவதை உறுதிசெய்ய அந்தப் பணியைப் பயன்படுத்துகிறது. செயல்படுத்தலுக்காக ஹோஸ்ட் செயல்முறை இடத்தில் DLL பின்கதவை மறைகுறியாக்கி செலுத்துவதற்கும் MemLoad பொறுப்பாகும்.

பின்கதவால் வழங்கப்படும் திறன்கள்

• பாதிக்கப்பட்ட ஹோஸ்டுக்கு/அவரிடமிருந்து தன்னிச்சையான கோப்புகளைப் பதிவேற்றி பதிவிறக்கவும்.
• டெஸ்க்டாப்பின் ஸ்கிரீன் ஷாட்களைப் பிடிக்கவும்
• உயர்ந்த சலுகைகளுடன் கட்டளைகளை இயக்கவும் மற்றும் தலைகீழ் ஷெல்களை உருவாக்கவும்.
• இயக்கக்கூடியவற்றை நேரடியாக நினைவகத்தில் ஏற்றி இயக்கவும் (கோப்பு இல்லாத செயல்படுத்தல்)
• செயல்முறைகளை நிறுத்தி, செயல்பாட்டின் தடயங்களை அகற்றவும்.

கட்டளை மற்றும் கட்டுப்பாடு மற்றும் பிணைய நடத்தை

HttpTroy, load.auraria.org என அடையாளம் காணப்பட்ட C2 டொமைனுக்கு POST கோரிக்கைகளை அனுப்புவதன் மூலம் எளிய HTTP வழியாக அதன் கட்டுப்படுத்தியுடன் தொடர்பு கொள்கிறது. HTTP POST இன் பயன்பாடு, குறிப்பாக சுயவிவரப்படுத்தப்படாவிட்டால், நெட்வொர்க் போக்குவரத்தை சாதாரண வலை போக்குவரத்துடன் கலக்கச் செய்கிறது.

பகுப்பாய்வு எதிர்ப்பு மற்றும் தெளிவின்மை நுட்பங்கள்

நிலையான பகுப்பாய்வு மற்றும் கையொப்பக் கண்டறிதலைத் தடுக்க, இந்த இம்பிளாண்ட் பல அடுக்கு தெளிவின்மை நடவடிக்கைகளைப் பயன்படுத்துகிறது. API பெயர்கள் மற்றும் சரங்களை கடின குறியீட்டு முறைக்கு பதிலாக, இது தனிப்பயன் ஹாஷ் நடைமுறைகள் மூலம் API அழைப்புகளை மறைக்கிறது மற்றும் XOR மற்றும் SIMD-பாணி கையாளுதல்களுடன் உரை கலைப்பொருட்களை மறைக்கிறது. முக்கியமாக, இது அதே ஹாஷ் செய்யப்பட்ட மதிப்புகள் அல்லது சரம் குறியாக்கங்களை மீண்டும் பயன்படுத்தாது - தீம்பொருள் தேவையான API ஹாஷ்கள் மற்றும் சரங்களை மாறுபட்ட எண்கணித மற்றும் தருக்க செயல்பாடுகளைப் பயன்படுத்தி மீண்டும் கட்டமைக்கிறது, இது தலைகீழ் பொறியியல் மற்றும் கையொப்ப உருவாக்கத்தின் செலவை அதிகரிக்கிறது.

பண்புக்கூறு மற்றும் சூழல்

நடத்தை குறிகாட்டிகள் மற்றும் இலக்கு ஆகியவை கிம்சுகியுடன் செயல்பாட்டை சீரமைக்கின்றன. இந்தத் தாக்குதல் தென் கொரிய பெறுநரை இலக்காகக் கொண்ட ஈட்டி-மீன் குறிவைக்கப்பட்டதாகத் தெரிகிறது. சம்பவத்தின் சரியான நேரம் ஆராய்ச்சியாளர்களால் வெளியிடப்படவில்லை.

முடிவுரை

HttpTroy தொடர்பான சாத்தியமான தொற்றுகளைக் கண்டறிந்து குறைக்க, நிறுவனங்கள் தங்கள் அமைப்புகளை சந்தேகத்திற்கிடமான திட்டமிடப்பட்ட பணிகளுக்காக, குறிப்பாக முறையான விற்பனையாளர் புதுப்பிப்புகளாக மாறுவேடமிடும் பணிகளுக்காக உன்னிப்பாகக் கண்காணிக்க வேண்டும். அறியப்படாத அல்லது அசாதாரணமான வெளிப்புற டொமைன்களை நோக்கி இயக்கப்படும் HTTP POST தகவல்தொடர்புகளை அடையாளம் கண்டு கொடியிட நெட்வொர்க் பாதுகாப்புகள் உள்ளமைக்கப்பட வேண்டும், இது முடிந்தவரை பரவும் தரவை ஆழமாக ஆய்வு செய்ய அனுமதிக்கிறது.

எண்ட்பாயிண்ட்களில் எதிர்பாராத SCR கோப்புகள் மற்றும் அங்கீகரிக்கப்படாத கோலாங் பைனரிகளின் செயல்பாட்டைக் கட்டுப்படுத்தவோ அல்லது தடுக்கவோ பாதுகாப்பு குழுக்களுக்கு அறிவுறுத்தப்படுகிறது. கூடுதலாக, நினைவகத்தில் உள்ள குறியீட்டு செயல்படுத்தலை அடையாளம் காணவும், முரண்பாடான செயல்முறை ஊசி செயல்பாட்டைக் கண்டறியவும் கூடிய வலுவான எண்ட்பாயிண்ட் பாதுகாப்பு தீர்வுகளைப் பயன்படுத்துவது சமரச அபாயத்தைக் கணிசமாகக் குறைக்கும்.