WinorDLL64: Hátsóajtó a hatalmas Lazarus arzenálból?

Az ESET kutatói felfedezték az egyik hasznos terhet Wslink letöltő amit 2021-ben fedeztünk fel. Ezt a rakományt a fájlnév alapján WinorDLL64-nek neveztük el. WinorDLL64.dll. Wslink, amely a fájlnévvel rendelkezik WinorLoaderDLL64.dll, a Windows bináris fájlok betöltője, amely más ilyen betöltőkkel ellentétben szerverként fut, és a memóriában hajtja végre a fogadott modulokat. Ahogy a megfogalmazás is sugallja, a betöltő eszközként szolgál egy rakomány vagy a tényleges kártevő betöltésére a már feltört rendszerre. A kezdeti Wslink kompromisszumos vektort nem azonosították.

A kezdetben ismeretlen Wslink rakomány nem sokkal blogbejegyzésünk megjelenése után került fel Dél-Koreából a VirusTotalra, és elérte az egyik YARA-szabályunkat a Wslink egyedi neve alapján. WinorDLL64. A Wslink esetében az ESET telemetria csak néhány észlelést látott – Közép-Európában, Észak-Amerikában és a Közel-Keleten.

A WinorDLL64 A hasznos teher hátsó ajtóként szolgál, amely elsősorban kiterjedt rendszerinformációkat szerez be, eszközöket biztosít a fájlok kezeléséhez, például a fájlok kiszűréséhez, felülírásához és eltávolításához, és további parancsokat hajt végre. Érdekes módon a Wslink betöltő által már létrehozott kapcsolaton keresztül kommunikál.

2021-ben nem találtunk olyan adatot, amely azt sugallná, hogy a Wslink egy ismert fenyegetés szereplőjének eszköze. A hasznos teher kiterjedt elemzése után azonban tulajdonítottunk WinorDLL64 a Lazarus APT csoporthoz alacsony megbízhatósággal a megcélzott régió alapján, és mind a viselkedés, mind a kód átfedésben van az ismert Lazarus mintákkal.

Legalább 2009 óta aktív ez a hírhedt észak-koreai kötődésű csoport felelős olyan nagy horderejű incidensekért, mint pl. Sony Pictures Entertainment hack és több tízmillió dollárt kiberheisták 2016-ban, a WannaCryptor (más néven WannaCry) járvány 2017-ben, és az ellen irányuló támadások hosszú története Dél-Korea nyilvános és kritikus infrastruktúrája legalább 2011 óta. A US-CERT és az FBI ezt a csoportot hívja REJTETT COBRA.

A mi alapján kiterjedt tudás Ennek a csoportnak a tevékenységeiből és működéséből úgy gondoljuk, hogy a Lazarus egy nagy csapatból áll, amely szisztematikusan szervezett, jól felkészült, és több alcsoportból áll, amelyek nagy eszközkészletet használnak. Tavaly mi felfedezett egy Lázár-eszközt hogy kihasználta a CVE-2021-21551 egy hollandiai repülőgépipari vállalat alkalmazottját és egy belgiumi politikai újságírót célzó sebezhetőség. Ez volt az első feljegyzett visszaélés a sérülékenységgel; Az eszköz és a sebezhetőség együttesen a feltört gépeken lévő összes biztonsági megoldás megfigyelésének elvakításához vezetett. Részletes leírást is adtunk a a virtuális gép szerkezete a Wslink mintáiban használják.

Ez a blogbejegyzés elmagyarázza a WinorDLL64 Lazarushoz való hozzárendelését, és elemzi a hasznos terhelést.

Linkek Lázárhoz

Átfedéseket fedeztünk fel mind a viselkedésben, mind a kódban a Lazarus mintáival A GhostSecret művelet és a Bankshot implantátum írta le a McAfee. Az implantátumok leírása a GhostSecret és a Bankshot cikkekben egyaránt tartalmaz átfedéseket a WinorDLL64 funkcionalitásában, és néhány kódátfedést találtunk a mintákban. Ebben a blogbejegyzésben csak a FE887FCAB66D7D7F79F05E0266C0649F0114BA7C minta a GhostSecretből a WinorDLL64-hez való összehasonlításhoz (1BA443FDE984CEE85EBD4D4FA7EB1263A6F1257F), hacsak másként nem rendelkezik.

A következő részletek összefoglalják azokat a tényeket, amelyek alátámasztják a Lázárnak tulajdonított alacsony bizalmat:

1. Viktimológia

• Az AhnLab kutatótársai megerősítették a Wslink dél-koreai áldozatait a telemetriájukban, ami a hagyományos Lazarus célpontokat tekintve releváns mutató, és csak néhány találatot figyeltünk meg.

1. ábra: Dél-koreai áldozat, ahol mstoned7 az Ahnlab kutatója

2. Rosszindulatú programok

• A McAfee által közölt legújabb GhostSecret minta (FE887FCAB66D7D7F79F05E0266C0649F0114BA7C) 2018. februári; 2018 végén vettük észre a Wslink első mintáját, és kutatótársaink 2018 augusztusában jelentettek találatokat, amelyeket publikációnk után hoztak nyilvánosságra. Ezért ezeket a mintákat viszonylag rövid időre észlelték egymástól.
• A PE gazdag fejlécek jelzi, hogy ugyanazt a fejlesztői környezetet és hasonló méretű projekteket több más ismert Lazarus mintában is használták (pl. 70DE783E5D48C6FBB576BC494BAF0634BC304FD6; 8EC9219303953396E1CB7105CDB18ED6C568E962). Ezt az átfedést a következő szabályokkal találtuk meg, amelyek csak ezekre a Wslink és Lazarus mintákra vonatkoznak, ami egy kis súlyú mutató. Teszteltük őket A VirusTotal retrovadászata és a belső fájl korpuszunk.

rich_signature.length == 80 és
pe.rich_signature.toolid(175, 30319) == 7 és
pe.rich_signature.toolid(155, 30319) == 1 és
pe.rich_signature.toolid(158, 30319) == 10 és
pe.rich_signature.toolid(170, 30319) >= 90 és
pe.rich_signature.toolid(170, 30319) <= 108

Ez a szabály lefordítható a következő, jobban olvasható és a VirusTotal által használt jelölésre, ahol látható a termék verziója és a build azonosítója (VS2010 build 30319), a felhasznált forrás-/objektumfájlok száma és típusa ([LTCG C++] ahol az LTCG a Link Time Code Generation rövidítése, [ASM], [C])és az exportok száma ([EXP]) a szabályban:

[LTCG C++] VS2010 build 30319 count=7
[EXP] VS2010 build 30319 count=1
[ASM] VS2010 build 30319 count=10
[ C ] VS2010 build 30319 számít a [ 90 .. 108 ]

• A GhostSecret cikkben leírtak egy „egyedülálló adatgyűjtő és beültetést telepítő összetevőt, amely a 443-as porton figyeli a bejövő vezérlőszerver-kapcsolatokat”, amely ráadásul szolgáltatásként futott. Ez a Wslink letöltő viselkedésének pontos leírása, kivéve a portszámot, amely a konfigurációtól függően változhat. Összefoglalva, bár a megvalósítás eltérő, mindkettő ugyanazt a célt szolgálja.
• A betöltőt az Oreans Code Virtualizer virtualizálja, amely egy kereskedelmi forgalomban használt védő gyakran Lázár által.
• A rakodó a Memóriamodul könyvtár modulok közvetlenül a memóriából való betöltéséhez. A könyvtárat nem gyakran használják rosszindulatú programok, de igen népszerű az észak-koreához kötődő csoportok, például a Lazarus és a Kimsuky körében.
• Átfedés a kódban a WinorDLL64 és a GhostSecret között, amelyet elemzésünk során találtunk. Az eredményeket és az attribúció jelentőségét az 1. táblázat tartalmazza.

1. táblázat: Hasonlóságok a WinorDLL64 és a GhostSecret között, valamint jelentőségük abban, hogy mindkettőt ugyanannak a fenyegető szereplőnek tulajdonítják

A 2. és 3. ábrán kiemeljük a kód átfedést a fájlküldési funkcióban.

2. ábra: GhostSecret fájl küldése

3. ábra Wslink fájl küldése

Technikai elemzés

A WinorDLL64 hátsó ajtóként szolgál, amely elsősorban kiterjedt rendszerinformációkat szerez be, eszközöket biztosít a fájlkezeléshez, és további parancsokat hajt végre. Érdekes módon olyan TCP-kapcsolaton keresztül kommunikál, amelyet a betöltője már létrehozott, és használja a betöltő néhány funkcióját.

4. ábra: A Wslink kommunikációjának megjelenítése

A hátsó ajtó egy DLL egyetlen névtelen exporttal, amely egyetlen paramétert fogad el – egy olyan kommunikációs struktúrát, amelyet már leírtunk korábbi blogbejegyzés. A struktúra TLS-környezetet – socket, kulcs, IV – és visszahívásokat tartalmaz 256 bites AES-CBC-vel titkosított üzenetek küldéséhez és fogadásához, amelyek lehetővé teszik a WinorDLL64 számára, hogy biztonságosan cserélhessen adatokat a kezelővel egy már létrehozott kapcsolaton keresztül.

A következő tények arra késztetnek bennünket, hogy nagy bizalommal higgyük, hogy a könyvtár valóban a Wslink része:

• Az egyedi struktúra mindenhol a várt módon kerül felhasználásra, pl. a TLS-környezet és más értelmes paraméterek az elvárt sorrendben kerülnek a megfelelő visszahívásokhoz.
• A DLL neve WinorDLL64.dll és Wslink neve volt WinorLoaderDLL64.dll.

A WinorDLL64 számos parancsot elfogad. Az 5. ábra a parancsokat fogadó és kezelő hurkot mutatja. Minden parancs egyedi azonosítóhoz van kötve, és további paramétereket tartalmazó konfigurációt fogad el.

5. ábra: A hátsó ajtó parancs-fogadó hurkának fő része

A parancslista a címkéinkkel a 6. ábrán látható.

6. ábra: A parancslista

A 2. táblázat a WinorDLL64 parancsok összefoglalását tartalmazza, ahol a módosított és régi kategóriák a korábban dokumentált GhostSecret funkcióval való kapcsolatra utalnak. A módosított kategóriában csak a lényeges változásokat emeljük ki.

2. táblázat: A hátsó ajtó parancsainak áttekintése

Következtetés

A Wslink hasznos terhelése arra szolgál, hogy eszközöket biztosítson a fájlok manipulálásához, további kódok végrehajtásához, valamint kiterjedt információk megszerzéséhez az alapul szolgáló rendszerről, amely később esetlegesen felhasználható oldalirányú mozgáshoz, a hálózati munkamenetek iránti különleges érdeklődés miatt. A Wslink betöltő a konfigurációban megadott porton figyel, és további csatlakozó klienseket tud kiszolgálni, sőt különféle hasznos terheléseket is betölthet.

A WinorDLL64 átfedést tartalmaz a fejlesztői környezetben, viselkedésben és kódban több Lazarus mintával, ami arra utal, hogy eszköz lehet az észak-koreai összehangolt APT csoport hatalmas arzenáljából.

IoCs

MITER ATT&CK technikák

Ez a táblázat felhasználásával készült 12 verzió az ATT&CK keretrendszer. A rakodó technikáit megint nem említjük, csak a hasznos terhet.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
• Forrás: https://www.welivesecurity.com/2023/02/23/winordll64-backdoor-vast-lazarus-arsenal/