HttpTroy 後門
一名與北韓有關的駭客(網名為 Kimsuky)被發現向韓國境內的單一目標投放了一種此前未知的後門程序,該程序被追蹤為「HttpTroy」。披露的資訊並未包含事件發生的具體時間線,但研究人員報告稱,入侵始於一個精心設計的釣魚包裹,該包裹偽裝成 VPN 發票,誘騙受害者打開惡意文件。
目錄
交付和初始執行
感染始於一個偽裝成 VPN 設備發票的 ZIP 壓縮包。壓縮包內包含一個 Windows SCR 文件,該文件執行後會啟動一個自動化的三階段執行鏈。第一階段是一個用 Go 語言寫的小型投放器。該投放器包含三個嵌入式資源,其中一個是看似無害的 PDF 文件,用於誘騙用戶打開,以便惡意活動在後台悄無聲息地運行。
執行鏈
- 小型 Golang 投放器(包含嵌入式誘餌 PDF 和其他有效載荷)
- 名為 MemLoad 的載入器元件
- 最終版 DLL 後門,代號 HttpTroy
持久性和載入器行為
載入器 MemLoad 與投放器同時運行,負責持久化和有效載荷部署。它創建一個名為「AhnlabUpdate」的計畫任務——這顯然是為了模仿 AhnLab 以降低懷疑——並利用該任務持續載入後門。 MemLoad 也負責解密 DLL 後門並將其註入到宿主進程空間中執行。
後門提供的功能
- 上傳和下載受害者主機下載任意文件
- 截取桌面螢幕截圖
- 以提升的權限執行命令並產生反向 shell
- 直接在記憶體中載入和運行可執行檔(無檔執行)
- 終止進程並清除活動痕跡
命令與控制和網路行為
HttpTroy 透過向名為 load.auraria.org 的 C2 網域發送 POST 請求,以純 HTTP 協定與其控制器通訊。除非進行專門的流量分析,否則使用 HTTP POST 要求會使網路流量與正常的 Web 流量混淆。
反分析和混淆技術
此植入程序採用多層混淆措施來阻礙靜態分析和簽名檢測。它並非將 API 名稱和字串硬編碼到程式中,而是透過自訂哈希例程隱藏 API 調用,並使用 XOR 和 SIMD 等運算方式隱藏文字資訊。更重要的是,它不會重複使用相同的雜湊值或字串編碼——該惡意軟體會使用不同的算術和邏輯運算動態地重構所需的 API 雜湊值和字串,從而增加了逆向工程和簽章創建的成本。
歸因與背景
行為指標和目標定位顯示此次活動與 Kimsuky 有關。這次攻擊似乎是針對韓國用戶的定向魚叉式網路釣魚攻擊。研究人員並未公佈事件發生的確切時間。
結論
為了偵測和緩解 HttpTroy 可能造成的感染,各組織應密切監控其係統,尋找任何可疑的計畫任務,尤其是那些偽裝成合法供應商更新的任務。應配置網路防禦措施,以識別並標記指向未知或不常見外部域的 HTTP POST 通信,以便在條件允許的情況下對傳輸的資料進行更深入的檢查。
安全團隊還應限製或阻止在各個端點上執行意外的 SCR 檔案和無法識別的 Golang 二進位檔案。此外,部署能夠識別記憶體程式碼執行和偵測異常進程注入活動的強大端點保護解決方案,可顯著降低安全風險。
