HttpTroy Arka Kapısı
Kimsuky olarak takip edilen Kuzey Kore bağlantılı bir saldırganın, Güney Kore'deki tek bir hedefe "HttpTroy" adı altında daha önce görülmemiş bir arka kapı gönderdiği görüldü. Açıklamada bir zaman çizelgesi yer almıyor, ancak araştırmacılar saldırının, kurbanı kötü amaçlı arşivi açmaya kandırmak için bir VPN faturası gibi görünen, özenle hazırlanmış bir kimlik avı paketiyle başladığını bildiriyor.
İçindekiler
Teslimat ve İlk Uygulama
Enfeksiyon, VPN ekipmanı için bir fatura gibi görünen bir ZIP arşiviyle başladı. İçerisinde, çalıştırıldığında otomatik üç aşamalı bir yürütme zinciri başlatan bir Windows SCR dosyası vardı. İlk aşama, bir Golang ikili dosyası olarak uygulanan küçük bir dropper'dır. Bu dropper, üç gömülü kaynak taşır; bunlardan biri, kötü amaçlı etkinliğin arka planda fark edilmeden çalışması için kullanıcıya bir tuzak olarak gösterilen zararsız bir PDF dosyasıdır.
İnfaz Zinciri
- Küçük Golang damlalığı (gömülü sahte PDF ve diğer yükleri içerir)
- MemLoad adlı yükleyici bileşeni
- HttpTroy adlı son DLL arka kapısı
Kalıcılık ve Yükleyici Davranışı
Yükleyici MemLoad, dropper ile eş zamanlı olarak çalışır ve kalıcılığı ve yük dağıtımını yönetir. Şüpheleri azaltmak için AhnLab'ı taklit etmeye yönelik açık bir girişim olan 'AhnlabUpdate' adlı zamanlanmış bir görev oluşturur ve bu görevi arka kapının sürekli olarak yüklenmesini sağlamak için kullanır. MemLoad ayrıca, DLL arka kapısının şifresini çözüp yürütme için ana bilgisayar işlem alanına enjekte etmekten de sorumludur.
Arka Kapı Tarafından Sağlanan Yetenekler
- Mağdur ana bilgisayara/makineden keyfi dosyaları yükleyin ve indirin
- Masaüstünün ekran görüntülerini yakalayın
- Komutları yükseltilmiş ayrıcalıklarla yürütün ve ters kabuklar oluşturun
- Yürütülebilir dosyaları doğrudan bellekte yükleyin ve çalıştırın (dosyasız yürütme)
- İşlemleri sonlandırın ve etkinlik izlerini kaldırın
Komuta ve Kontrol ve Ağ Davranışı
HttpTroy, load.auraria.org olarak tanımlanan bir C2 etki alanına POST istekleri göndererek denetleyicisiyle düz HTTP üzerinden iletişim kurar. HTTP POST kullanımı, özel olarak profillendirilmediği sürece ağ trafiğinin normal web trafiğiyle karışmasını sağlar.
Anti-analiz ve Karartma Teknikleri
İmplant, statik analiz ve imza tespitini engellemek için çeşitli katmanlı gizleme önlemleri kullanır. API adlarını ve dizelerini sabit kodlamak yerine, özel karma rutinleri aracılığıyla API çağrılarını gizler ve XOR ve SIMD tarzı manipülasyonlarla metinsel hataları gizler. Daha da önemlisi, aynı karma değerlerini veya dize kodlamalarını tekrar kullanmaz; kötü amaçlı yazılım, farklı aritmetik ve mantıksal işlemler kullanarak gerekli API karmalarını ve dizelerini anında yeniden oluşturur ve bu da tersine mühendislik ve imza oluşturma maliyetini artırır.
Atıf ve Bağlam
Davranışsal göstergeler ve hedefleme, etkinliği Kimsuky ile uyumlu hale getiriyor. Saldırı, Güney Koreli bir alıcıyı hedef alan hedefli bir kimlik avı gibi görünüyor. Olayın kesin zamanlaması araştırmacılar tarafından açıklanmadı.
Çözüm
HttpTroy ile ilgili olası enfeksiyonları tespit etmek ve azaltmak için kuruluşlar, özellikle meşru satıcı güncellemeleri gibi görünen şüpheli planlanmış görevlere karşı sistemlerini yakından izlemelidir. Ağ savunmaları, bilinmeyen veya nadir görülen harici etki alanlarına yönlendirilen HTTP POST iletişimlerini tespit edip işaretleyecek şekilde yapılandırılmalı ve mümkün olduğunda iletilen verilerin daha derinlemesine incelenmesine olanak sağlamalıdır.
Güvenlik ekiplerine ayrıca, beklenmedik SCR dosyalarının ve tanınmayan Golang ikili dosyalarının uç noktalarda yürütülmesini kısıtlamaları veya engellemeleri tavsiye edilmektedir. Ayrıca, bellek içi kod yürütmeyi ve anormal işlem enjeksiyon etkinliğini tespit edebilen güçlü uç nokta koruma çözümlerinin devreye alınması, güvenlik ihlali riskini önemli ölçüde azaltabilir.
