Multi-License Discount Quote
Banta sa Database Malware HttpTroy Backdoor

HttpTroy Backdoor

Sa pamamagitan ng Mezo sa Malware, Mga backdoor
Isalin To:

Isang aktor na nakaugnay sa North Korea na sinusubaybayan bilang Kimsuky ang naobserbahang naghahatid ng dati nang hindi nakikitang backdoor, na sinusubaybayan bilang 'HttpTroy,' laban sa isang target sa South Korea. Walang kasamang timeline ang pagbubunyag, ngunit iniulat ng mga mananaliksik na nagsimula ang panghihimasok sa isang maingat na ginawang phishing package na nagpapanggap bilang isang VPN invoice para linlangin ang biktima na buksan ang malisyosong archive.

Paghahatid At Paunang Pagpapatupad

Nagsimula ang impeksyon sa isang ZIP archive na nagpanggap bilang isang invoice para sa kagamitan ng VPN. Sa loob ay isang Windows SCR file na, kapag naisakatuparan, ay naglunsad ng isang automated na tatlong yugto ng execution chain. Ang unang yugto ay isang maliit na dropper na ipinatupad bilang isang Golang binary. Ang dropper na iyon ay nagdadala ng tatlong naka-embed na mapagkukunan, ang isa ay isang benign PDF na ipinapakita sa user bilang isang decoy kaya ang nakakahamak na aktibidad ay tumatakbo nang hindi napapansin sa background.

Ang Execution Chain

  • Maliit na Golang dropper (naglalaman ng naka-embed na decoy na PDF at iba pang mga payload)
  • Ang bahagi ng loader na pinangalanang MemLoad
  • Huling DLL backdoor na tinatawag na HttpTroy

Pagtitiyaga At Pag-uugali ng Loader

Ang loader, MemLoad, ay tumatakbo kasabay ng dropper at pinangangasiwaan ang pagtitiyaga at pag-deploy ng payload. Lumilikha ito ng naka-iskedyul na gawain na may label na 'AhnlabUpdate' — isang malinaw na pagtatangka na gayahin ang AhnLab upang mabawasan ang hinala — at ginagamit ang gawaing iyon upang matiyak na ang backdoor ay na-load sa patuloy na batayan. Ang MemLoad ay responsable din sa pag-decrypting at pag-inject ng DLL backdoor sa puwang ng proseso ng host para sa pagpapatupad.

Mga Kakayahang Ibinibigay Ng Backdoor

  • Mag-upload at mag-download ng mga arbitrary na file papunta/mula sa host ng biktima
  • Kumuha ng mga screenshot ng desktop
  • Magsagawa ng mga utos na may mataas na mga pribilehiyo at mag-spawn ng mga reverse shell
  • Mag-load at magpatakbo ng mga executable nang direkta sa memorya (fileless execution)
  • Wakasan ang mga proseso at alisin ang mga bakas ng aktibidad

Command-and-Control At Pag-uugali sa Network

Nakikipag-ugnayan ang HttpTroy sa controller nito sa simpleng HTTP sa pamamagitan ng pagpapadala ng mga kahilingan sa POST sa isang C2 na domain na kinilala bilang load.auraria.org. Ang paggamit ng HTTP POST ay ginagawang paghahalo ng trapiko sa network sa normal na trapiko sa web maliban kung partikular na naka-profile.

Anti-analysis At Obfuscation Techniques

Gumagamit ang implant ng ilang layered obfuscation measures upang biguin ang static analysis at signature detection. Sa halip na hardcoding ang mga pangalan at string ng API, itinatago nito ang mga tawag sa API sa pamamagitan ng mga custom na hash routine at nagtatago ng mga textual artifact na may XOR at SIMD-style na manipulations. Mahalaga, hindi nito muling ginagamit ang parehong mga hash na value o string encodings — binago ng malware ang mga kinakailangang API hash at string on the fly gamit ang iba't ibang aritmetika at lohikal na operasyon, na nagpapataas sa gastos ng reverse engineering at paggawa ng signature.

Pagpapatungkol At Konteksto

Ang mga tagapagpahiwatig ng pag-uugali at pag-target ay ihanay ang aktibidad sa Kimsuky. Ang pag-atake ay lumilitaw na isang naka-target na spear-phish na naglalayong sa isang tatanggap ng South Korean. Ang eksaktong oras ng insidente ay hindi inilabas ng mga mananaliksik.

Konklusyon

Upang matukoy at mabawasan ang mga potensyal na impeksyong kinasasangkutan ng HttpTroy, dapat na masubaybayan ng mga organisasyon ang kanilang mga system para sa anumang mga kahina-hinalang nakaiskedyul na gawain, lalo na ang mga nagpapanggap bilang mga lehitimong pag-update ng vendor. Dapat na i-configure ang mga depensa ng network upang tukuyin at i-flag ang mga komunikasyon sa HTTP POST na nakadirekta sa hindi alam o hindi karaniwang mga panlabas na domain, na nagbibigay-daan sa mas malalim na inspeksyon ng ipinadalang data kapag posible.

Pinapayuhan din ang mga security team na higpitan o harangan ang pagpapatupad ng mga hindi inaasahang SCR file at hindi nakikilalang mga binary ng Golang sa mga endpoint. Bilang karagdagan, ang pagde-deploy ng mga mahusay na solusyon sa proteksyon ng endpoint na may kakayahang tumukoy ng in-memory code na pagpapatupad at pag-detect ng maanomalyang aktibidad ng pag-iniksyon sa proseso ay maaaring makabuluhang bawasan ang panganib ng kompromiso.

Trending

Pinaka Nanood

Naglo-load...