Killua Backdoor

Killua es una amenaza de puerta trasera desplegada por los actores de amenazas en una campaña contra las organizaciones de Kuwait de la industria del transporte y el envío. La amenaza es parte de un conjunto de herramientas personalizado con diferentes amenazas que reciben nombres de personajes de la popular serie de manga y anime 'Hunter x Hunter': Sakabota, Hisoka, Gon, Killua y Netero.

Funcionalmente, Killua Backdoor representa una versión actualizada y modificada de Hisoka. Sin embargo, a diferencia de Hisoka, fue escrito en Visual C ++ y no en C #. Una vez dentro de la computadora de destino, Killua inyecta su configuración en el Registro del sistema a través de las siguientes claves de Registro:

• HKCU \ Panel de control \ International \ _ID:
• HKCU \ Panel de control \ International \ _EndPoint: "learn-service [.] Com"
• HKCU \ Panel de control \ International \ _Resolver_Server: "
• HKCU \ Control Panel \ International \ _Response: "180"
• HKCU \ Panel de control \ Internacional \ _Paso: "3"

El objetivo principal de la amenaza es establecer comunicaciones con la infraestructura de comando y control de los piratas informáticos. Para hacerlo, Killua solo puede usar consultas de tunelización de DNS realizadas con su herramienta incorporada 'nslookup'. Killua inicia el canal de comunicación enviando una consulta de baliza que contiene una ID única como subdominio que representa el sistema comprometido específico. Los datos transferidos se cifran primero con XOR y luego se codifican con base64.

Killua busca comandos específicos antes de poder iniciar cualquier funcionalidad adicional. Los comandos que reconoce son - R, -doer, -S, -status, -change, -id, -resolver, -help.