Killua Backdoor

Killua est une menace de porte dérobée déployée par des acteurs de la menace dans une campagne contre des organisations koweïtiennes de l'industrie du transport et de la navigation. La menace fait partie d'une boîte à outils personnalisée dans laquelle différentes menaces reçoivent des noms de personnages de la populaire série manga et anime 'Hunter x Hunter' - Sakabota, Hisoka, Gon, Killua et Netero.

Fonctionnellement, la porte dérobée Killua représente une version mise à jour et modifiée de la porte dérobée Hisoka. Contrairement à Hisoka, cependant, il a été écrit en Visual C ++ et non en C #. Une fois à l'intérieur de l'ordinateur ciblé, Killua injecte sa configuration dans le registre du système via les clés de registre suivantes:

• HKCU \ Control Panel \ International \ _ID:
• HKCU \ Control Panel \ International \ _EndPoint: «learn-service [.] Com»
• HKCU \ Control Panel \ International \ _Resolver_Server: ""
• HKCU \ Control Panel \ International \ _Response: "180"
• HKCU \ Panneau de configuration \ International \ _Étape: «3»

L'objectif principal de la menace est d'établir des communications avec l'infrastructure de commandement et de contrôle des pirates. Pour ce faire, Killua ne peut utiliser que les requêtes de tunneling DNS effectuées à l'aide de son outil intégré 'nslookup'. Le canal de communication est initié par Killua qui envoie une requête de balise contenant un identifiant unique comme sous-domaine représentant le système compromis spécifique. Les données transférées sont d'abord cryptées avec XOR puis encodées avec base64.

Killua recherche des commandes spécifiques avant de pouvoir lancer une fonctionnalité supplémentaire. Les commandes qu'il reconnaît sont - R, -doer, -S, -status, -change, -id, -resolver, -help.