Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware Http://Troy Hintertür

Http://Troy Hintertür

Von Mezo in Malware, Hintertür-Viren
Übersetzen Sie in:

Ein Akteur mit Verbindungen zu Nordkorea, bekannt unter dem Pseudonym Kimsuky, wurde dabei beobachtet, wie er eine bisher unbekannte Hintertür mit dem Namen „HttpTroy“ in ein System in Südkorea einschleuste. Die Veröffentlichung enthielt keine Zeitangaben, doch Forscher berichten, dass der Angriff mit einem sorgfältig gestalteten Phishing-Paket begann, das als VPN-Rechnung getarnt war, um das Opfer zum Öffnen des schädlichen Archivs zu verleiten.

Lieferung und erste Ausführung

Die Infektion begann mit einem ZIP-Archiv, das als Rechnung für VPN-Geräte getarnt war. Darin befand sich eine Windows-SCR-Datei, die nach ihrer Ausführung eine automatisierte, dreistufige Ausführungskette startete. Die erste Stufe ist ein kleiner Dropper, implementiert als Go-Binärdatei. Dieser Dropper enthält drei eingebettete Ressourcen, von denen eine ein harmloses PDF ist, das dem Benutzer als Köder angezeigt wird, damit die Schadsoftware unbemerkt im Hintergrund abläuft.

Die Ausführungskette

  • Kleiner Golang-Dropper (enthält eingebettete Köder-PDF und andere Nutzdaten)
  • Ladekomponente namens MemLoad
  • Die letzte DLL-Hintertür trägt den Namen HttpTroy

Persistenz und Ladeverhalten

Der Loader MemLoad läuft parallel zum Dropper und ist für die Persistenz und die Bereitstellung der Payload zuständig. Er erstellt eine geplante Aufgabe mit der Bezeichnung „AhnlabUpdate“ – ein offensichtlicher Versuch, AhnLab zu imitieren, um Verdacht zu vermeiden – und nutzt diese Aufgabe, um sicherzustellen, dass die Backdoor kontinuierlich geladen wird. MemLoad ist außerdem für das Entschlüsseln und Einschleusen der DLL-Backdoor in den Hostprozess zur Ausführung verantwortlich.

Funktionen, die durch die Hintertür bereitgestellt werden

  • Beliebige Dateien auf den/vom Host des Opfers hochladen und herunterladen.
  • Erstellen Sie Screenshots vom Desktop
  • Führe Befehle mit erhöhten Rechten aus und starte Reverse Shells.
  • Ausführbare Dateien direkt im Speicher laden und ausführen (dateilose Ausführung)
  • Prozesse beenden und Aktivitätsspuren entfernen

Befehls- und Kontrollsysteme und Netzwerkverhalten

HttpTroy kommuniziert mit seinem Controller über unverschlüsseltes HTTP, indem es POST-Anfragen an eine C2-Domäne mit der Bezeichnung load.auraria.org sendet. Durch die Verwendung von HTTP POST vermischt sich der Netzwerkverkehr mit dem normalen Webverkehr, sofern er nicht explizit profiliert wird.

Anti-Analyse- und Verschleierungstechniken

Das Implantat verwendet mehrere, aufeinander aufbauende Verschleierungsmaßnahmen, um statische Analysen und die Erkennung von Signaturen zu erschweren. Anstatt API-Namen und -Zeichenketten fest zu kodieren, verbirgt es API-Aufrufe mithilfe benutzerdefinierter Hash-Routinen und verschleiert Textartefakte durch XOR- und SIMD-ähnliche Manipulationen. Wichtig ist, dass es nicht dieselben Hashwerte oder Zeichenkettenkodierungen wiederverwendet – die Malware rekonstruiert die benötigten API-Hashes und -Zeichenketten dynamisch mithilfe unterschiedlicher arithmetischer und logischer Operationen, was den Aufwand für Reverse Engineering und die Erstellung von Signaturen erhöht.

Zuschreibung und Kontext

Verhaltensindikatoren und die Zielauswahl deuten auf eine Verbindung zu Kimsuky hin. Der Angriff scheint ein gezielter Spear-Phishing-Angriff zu sein, der sich an einen südkoreanischen Empfänger richtete. Der genaue Zeitpunkt des Vorfalls wurde von den Forschern nicht bekannt gegeben.

Abschluss

Um potenzielle Infektionen mit HttpTroy zu erkennen und einzudämmen, sollten Unternehmen ihre Systeme genau auf verdächtige geplante Aufgaben überwachen, insbesondere solche, die sich als legitime Herstellerupdates ausgeben. Die Netzwerkverteidigung sollte so konfiguriert sein, dass HTTP-POST-Anfragen an unbekannte oder ungewöhnliche externe Domains erkannt und gekennzeichnet werden, um – wenn möglich – eine genauere Prüfung der übertragenen Daten zu ermöglichen.

Sicherheitsteams wird zudem empfohlen, die Ausführung unerwarteter SCR-Dateien und unbekannter Golang-Binärdateien auf allen Endpunkten einzuschränken oder zu blockieren. Darüber hinaus kann der Einsatz robuster Endpunktschutzlösungen, die die Ausführung von Code im Arbeitsspeicher erkennen und anomale Prozessinjektionsaktivitäten aufspüren können, das Risiko einer Kompromittierung erheblich reduzieren.

Im Trend

Am häufigsten gesehen

Wird geladen...