WinorDLL64: विशाल लाजर शस्त्रागार से पिछले दरवाजे?

ईएसईटी के शोधकर्ताओं ने इसके पेलोड में से एक की खोज की है Wslink डाउनलोडर जिसे हमने 2021 में वापस खोजा। हमने इस पेलोड का नाम इसके फाइलनाम के आधार पर WinorDLL64 रखा है विनोरDLL64.dll. Wslink, जिसका फ़ाइल नाम था विनोरलोडरDLL64.dll, विंडोज बायनेरिज़ के लिए एक लोडर है, जो ऐसे अन्य लोडर के विपरीत, एक सर्वर के रूप में चलता है और मेमोरी में प्राप्त मॉड्यूल को निष्पादित करता है। जैसा कि शब्दों से पता चलता है, एक लोडर पहले से ही समझौता किए गए सिस्टम पर पेलोड, या वास्तविक मैलवेयर को लोड करने के लिए एक उपकरण के रूप में कार्य करता है। शुरुआती Wslink समझौता वेक्टर की पहचान नहीं की गई है।

प्रारंभिक रूप से अज्ञात Wslink पेलोड को हमारे ब्लॉगपोस्ट के प्रकाशन के तुरंत बाद दक्षिण कोरिया से VirusTotal पर अपलोड किया गया था, और Wslink के अद्वितीय नाम पर आधारित हमारे YARA नियमों में से एक को हिट किया विनोरDLL64. Wslink के संबंध में, ESET टेलीमेट्री ने केवल कुछ ही पता लगाए हैं - मध्य यूरोप, उत्तरी अमेरिका और मध्य पूर्व में।

RSI विनोरDLL64 पेलोड एक पिछले दरवाजे के रूप में कार्य करता है जो विशेष रूप से व्यापक सिस्टम जानकारी प्राप्त करता है, फ़ाइल हेरफेर के लिए साधन प्रदान करता है, जैसे कि एक्सफ़िल्ट्रेटिंग, ओवरराइटिंग और फ़ाइलों को हटाना, और अतिरिक्त कमांड निष्पादित करता है। दिलचस्प बात यह है कि यह Wslink लोडर द्वारा पहले से स्थापित कनेक्शन पर संचार करता है।

2021 में, हमें ऐसा कोई डेटा नहीं मिला जो यह सुझाव दे कि Wslink एक ज्ञात खतरे वाले अभिनेता का एक उपकरण है। हालांकि, पेलोड के व्यापक विश्लेषण के बाद, हमने जिम्मेदार ठहराया है विनोरDLL64 Lazarus APT समूह को लक्षित क्षेत्र के आधार पर कम आत्मविश्वास और ज्ञात Lazarus नमूनों के साथ व्यवहार और कोड दोनों में एक ओवरलैप के साथ।

कम से कम 2009 से सक्रिय, यह कुख्यात उत्तर-कोरिया संरेखित समूह हाई-प्रोफाइल घटनाओं जैसे दोनों के लिए जिम्मेदार है सोनी पिक्चर्स एंटरटेनमेंट हैक और दसियों-लाखों डॉलर 2016 में साइबरहेस्ट्स, WannaCryptor (उर्फ वानाक्राई) 2017 में फैल गया, और इसके खिलाफ विघटनकारी हमलों का एक लंबा इतिहास रहा दक्षिण कोरियाई सार्वजनिक और महत्वपूर्ण बुनियादी ढांचा कम से कम 2011 से। US-CERT और FBI इस समूह को कहते हैं हिडेन कोबरा.

हमारे आधार पर अत्यधिक जानकारी इस समूह की गतिविधियों और संचालन के बारे में हमारा मानना ​​है कि लाजर में एक बड़ी टीम है जो व्यवस्थित रूप से संगठित है, अच्छी तरह से तैयार है, और कई उपसमूहों से बनी है जो एक बड़े टूलसेट का उपयोग करते हैं। पिछले साल, हम एक लाजर उपकरण की खोज की जिसका फायदा उठाया सीवीई‑2021‑21551 नीदरलैंड में एक एयरोस्पेस कंपनी के एक कर्मचारी और बेल्जियम में एक राजनीतिक पत्रकार को लक्षित करने की भेद्यता। यह भेद्यता का पहला रिकॉर्ड किया गया दुरुपयोग था; संयोजन में, उपकरण और भेद्यता ने समझौता मशीनों पर सभी सुरक्षा समाधानों की निगरानी को अंधा कर दिया। हमने इसका विस्तृत विवरण भी प्रदान किया है वर्चुअल मशीन की संरचना Wslink के नमूनों में उपयोग किया जाता है।

यह ब्लॉगपोस्ट लाजर को WinorDLL64 के एट्रिब्यूशन की व्याख्या करता है और पेलोड का विश्लेषण प्रदान करता है।

लाजर के लिए लिंक

हमने Lazarus के नमूनों के साथ व्यवहार और कोड दोनों में ओवरलैप का पता लगाया है ऑपरेशन घोस्ट सीक्रेट और बैंकशॉट इम्प्लांट McAfee द्वारा वर्णित। घोस्टसीक्रेट और बैंकशॉट दोनों लेखों में प्रत्यारोपण के विवरण में WinorDLL64 के साथ कार्यक्षमता में ओवरलैप शामिल हैं और हमने नमूनों में कुछ कोड ओवरलैप पाया। इस ब्लॉगपोस्ट में हम केवल इसका उपयोग करेंगे FE887FCAB66D7D7F79F05E0266C0649F0114BA7C WinorDLL64 के खिलाफ तुलना के लिए घोस्टसीक्रेट से नमूना (1BA443FDE984CEE85EBD4D4FA7EB1263A6F1257F), जब तक अन्यथा निर्दिष्ट न किया जाए।

निम्नलिखित विवरण लाजर के लिए हमारे कम आत्मविश्वास वाले आरोपण के लिए सहायक तथ्यों को संक्षेप में प्रस्तुत करते हैं:

1. विक्टिमोलॉजी

• अह्नलैब के साथी शोधकर्ताओं ने अपने टेलीमेट्री में Wslink के दक्षिण कोरियाई पीड़ितों की पुष्टि की, जो कि पारंपरिक लाजर के लक्ष्यों को देखते हुए एक प्रासंगिक संकेतक है और हमने केवल कुछ हिट देखे हैं।

चित्र 1. रिपोर्ट दक्षिण कोरियाई शिकार, जहां mstoned7 अहनलाब से शोधकर्ता है

2। मैलवेयर

• McAfee द्वारा रिपोर्ट किया गया नवीनतम घोस्टसीक्रेट नमूना (FE887FCAB66D7D7F79F05E0266C0649F0114BA7C) फरवरी 2018 से है; हमने 2018 के अंत में Wslink का पहला नमूना देखा और साथी शोधकर्ताओं ने अगस्त 2018 में हिट की सूचना दी, जिसका खुलासा उन्होंने हमारे प्रकाशन के बाद किया। इसलिए, इन नमूनों को अपेक्षाकृत कम समय के अलावा देखा गया।
• RSI पीई समृद्ध शीर्षलेख संकेत मिलता है कि समान विकास पर्यावरण और समान आकार की परियोजनाओं का उपयोग कई अन्य ज्ञात लाजर नमूनों में किया गया था (उदाहरण के लिए, 70DE783E5D48C6FBB576BC494BAF0634BC304FD6; 8EC9219303953396E1CB7105CDB18ED6C568E962). हमने निम्नलिखित नियमों का उपयोग करते हुए यह ओवरलैप पाया जो केवल इन Wslink और Lazarus के नमूनों को कवर करते हैं, जो कम वजन वाला एक संकेतक है। हमने उनका परीक्षण किया VirusTotal का रेट्रोहंट और हमारी आंतरिक फाइल कॉर्पस।

Rich_signature.length == 80 और
pe.rich_signature.toolid(175, 30319) == 7 और
pe.rich_signature.toolid(155, 30319) == 1 और
pe.rich_signature.toolid(158, 30319) == 10 और
pe.rich_signature.toolid(170, 30319) >= 90 और
pe.rich_signature.toolid(170, 30319) <= 108

इस नियम को निम्न अंकन में अनुवादित किया जा सकता है जो अधिक पठनीय है और VirusTotal द्वारा उपयोग किया जाता है, जहां कोई उत्पाद संस्करण और बिल्ड आईडी देख सकता है (VS2010 बिल्ड 30319), उपयोग की गई स्रोत/ऑब्जेक्ट फ़ाइलों की संख्या और प्रकार ([एलटीसीजी सी++] जहां LTCG का मतलब लिंक टाइम कोड जनरेशन है, [एएसएम], [ सी ]), और निर्यात की संख्या ([EXक्स्प]) नियम में:

[एलटीसीजी सी ++] वीएस 2010 बिल्ड 30319 काउंट = 7
[ऍक्स्प] VS2010 बिल्ड 30319 काउंट = 1
[एएसएम] वीएस 2010 बिल्ड 30319 काउंट = 10
[सी] वीएस 2010 बिल्ड 30319 गिनती [90 ..108] में

• घोस्टसीक्रेट लेख ने "एक अद्वितीय डेटा-एकत्रीकरण और इम्प्लांट-इंस्टॉलेशन घटक का वर्णन किया है जो इनबाउंड कंट्रोल सर्वर कनेक्शन के लिए पोर्ट 443 पर सुनता है" जो अतिरिक्त रूप से एक सेवा के रूप में चलता है। यह पोर्ट नंबर के अलावा Wslink डाउनलोडर व्यवहार का सटीक विवरण है, जो कॉन्फ़िगरेशन के आधार पर भिन्न हो सकता है। इसे योग करने के लिए, भले ही कार्यान्वयन भिन्न हो, दोनों एक ही उद्देश्य को पूरा करते हैं।
• लोडर को ओरियन्स कोड वर्चुअलाइज़र द्वारा वर्चुअलाइज़ किया गया है, जो एक वाणिज्यिक रक्षक है जिसका उपयोग किया जाता है अक्सर लाजर द्वारा।
• लोडर उपयोग करता है मेमोरी मॉड्यूल स्मृति से सीधे मॉड्यूल लोड करने के लिए पुस्तकालय। लाइब्रेरी का आमतौर पर मैलवेयर द्वारा उपयोग नहीं किया जाता है, लेकिन यह उत्तर कोरिया-गठबंधन समूहों जैसे लाजर और किमसुकी के बीच काफी लोकप्रिय है।
• WinorDLL64 और घोस्टसीक्रेट के बीच कोड में ओवरलैप जो हमने अपने विश्लेषण के दौरान पाया। एट्रिब्यूशन में परिणाम और महत्व तालिका 1 में सूचीबद्ध हैं।

तालिका 1. WinorDLL64 और घोस्टसीक्रेट के बीच समानताएं और दोनों को एक ही खतरे वाले अभिनेता के लिए जिम्मेदार ठहराने में उनका महत्व

फ़ाइल भेजने की कार्यक्षमता में कोड ओवरलैप को चित्र 2 और चित्र 3 में हाइलाइट किया गया है।

चित्र 2. घोस्टसीक्रेट एक फ़ाइल भेज रहा है

चित्र 3. Wslink फ़ाइल भेज रहा है

तकनीकी विश्लेषण

WinorDLL64 एक बैकडोर के रूप में कार्य करता है जो विशेष रूप से व्यापक सिस्टम जानकारी प्राप्त करता है, फ़ाइल हेरफेर के लिए साधन प्रदान करता है, और अतिरिक्त कमांड निष्पादित करता है। दिलचस्प बात यह है कि यह एक टीसीपी कनेक्शन पर संचार करता है जो पहले से ही इसके लोडर द्वारा स्थापित किया गया था और लोडर के कुछ कार्यों का उपयोग करता है।

चित्र 4. Wslink के संचार का विज़ुअलाइज़ेशन

पिछला दरवाजा एक एकल अनाम निर्यात वाला एक डीएलएल है जो एक पैरामीटर को स्वीकार करता है - संचार के लिए एक संरचना जिसे पहले से ही हमारे में वर्णित किया गया था पिछले ब्लॉगपोस्ट. संरचना में 256-बिट एईएस-सीबीसी के साथ एन्क्रिप्टेड संदेशों को भेजने और प्राप्त करने के लिए एक टीएलएस-संदर्भ - सॉकेट, कुंजी, IV - और कॉलबैक शामिल हैं जो WinorDLL64 को पहले से स्थापित कनेक्शन पर ऑपरेटर के साथ सुरक्षित रूप से डेटा का आदान-प्रदान करने में सक्षम बनाता है।

निम्नलिखित तथ्य हमें उच्च विश्वास के साथ विश्वास दिलाते हैं कि पुस्तकालय वास्तव में Wslink का हिस्सा है:

• अद्वितीय संरचना का उपयोग अपेक्षित तरीके से हर जगह किया जाता है, उदाहरण के लिए, टीएलएस-संदर्भ और अन्य सार्थक पैरामीटर अनुमानित क्रम में सही कॉलबैक के लिए आपूर्ति की जाती हैं।
• डीएलएल का नाम है विनोरDLL64.dll और Wslink का नाम था विनोरलोडरDLL64.dll.

WinorDLL64 कई आदेश स्वीकार करता है। चित्र 5 उस लूप को प्रदर्शित करता है जो कमांड प्राप्त करता है और संभालता है। प्रत्येक कमांड एक विशिष्ट आईडी से बंधा होता है और एक कॉन्फ़िगरेशन को स्वीकार करता है जिसमें अतिरिक्त पैरामीटर होते हैं।

चित्रा 5. पिछले दरवाजे के कमांड-प्राप्त लूप का मुख्य भाग

कमांड सूची, हमारे लेबल के साथ, चित्र 6 में है।

चित्र 6. कमांड सूची

तालिका 2 में WinorDLL64 कमांड का सारांश है, जहां संशोधित किया गया है, और पुरानी श्रेणियां पहले से प्रलेखित घोस्टसीक्रेट कार्यक्षमता के संबंध को संदर्भित करती हैं। हम संशोधित श्रेणी में केवल महत्वपूर्ण परिवर्तनों को हाइलाइट करते हैं।

तालिका 2. बैकडोर कमांड का ओवरव्यू

निष्कर्ष

Wslink का पेलोड फ़ाइल हेरफेर, आगे के कोड के निष्पादन, और अंतर्निहित सिस्टम के बारे में व्यापक जानकारी प्राप्त करने के लिए साधन प्रदान करने के लिए समर्पित है, जिसे बाद में नेटवर्क सत्रों में विशिष्ट रुचि के कारण पार्श्व आंदोलन के लिए लीवरेज किया जा सकता है। Wslink लोडर कॉन्फ़िगरेशन में निर्दिष्ट पोर्ट पर सुनता है और अतिरिक्त कनेक्टिंग क्लाइंट की सेवा कर सकता है, और यहां तक ​​कि विभिन्न पेलोड लोड भी कर सकता है।

WinorDLL64 में विकास पर्यावरण, व्यवहार और कोड में कई लाजर नमूनों के साथ एक ओवरलैप शामिल है, जो इंगित करता है कि यह इस उत्तर-कोरिया संरेखित एपीटी समूह के विशाल शस्त्रागार से एक उपकरण हो सकता है।

आईओसी

MITER ATT&CK तकनीक

यह तालिका का उपयोग करके बनाई गई थी 12 संस्करण एटीटी और सीके ढांचे का। हम फिर से लोडर की तकनीकों का उल्लेख नहीं करते हैं, केवल पेलोड का।

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• स्रोत: https://www.welivesecurity.com/2023/02/23/winordll64-backdoor-vast-lazarus-arsenal/