Threat Database Backdoors Killua Backdoor

Killua Backdoor

Killua ist eine Backdoor-Bedrohung, die von Bedrohungsakteuren in einer Kampagne gegen kuwaitische Organisationen aus der Transport- und Schifffahrtsbranche eingesetzt wird. Die Bedrohung ist Teil eines speziell entwickelten Toolkits, bei dem verschiedenen Bedrohungen Namen von Charakteren aus der beliebten Manga- und Anime-Serie "Hunter x Hunter" zugewiesen werden - Sakabota, Hisoka, Gon, Killua und Netero.

Funktionell repräsentiert die Killua Backdoor eine aktualisierte und modifizierte Version der Hisoka Backdoor. Im Gegensatz zu Hisoka wurde es jedoch in Visual C ++ und nicht in C # geschrieben. Sobald Killua sich auf dem Zielcomputer befindet, fügt er seine Konfiguration über die folgenden Registrierungsschlüssel in die Registrierung des Systems ein:

  • HKCU \ Control Panel \ International \ _ID:
  • HKCU \ Control Panel \ International \ _EndPoint: "learn-service [.] Com"
  • HKCU \ Control Panel \ International \ _Resolver_Server: ""
  • HKCU \ Control Panel \ International \ _Antwort: "180"
  • HKCU \ Control Panel \ International \ _Schritt: "3"

Das Hauptziel der Bedrohung besteht darin, die Kommunikation mit der Command-and-Control-Infrastruktur der Hacker herzustellen. Zu diesem Zweck kann Killua nur DNS-Tunnelabfragen verwenden, die mit dem integrierten Tool 'nslookup' erstellt wurden. Der Kommunikationskanal wird von Killua initiiert, der eine Beacon-Abfrage sendet, die eine eindeutige ID als Subdomain enthält, die das spezifische gefährdete System darstellt. Die übertragenen Daten werden zuerst mit XOR verschlüsselt und dann mit base64 codiert.

Killua sucht nach bestimmten Befehlen, bevor zusätzliche Funktionen initiiert werden können. Die erkannten Befehle sind - R, -doer, -S, -status, -change, -id, -resolver, -help.

Im Trend

Am häufigsten gesehen

Wird geladen...