WinorDLL64: 방대한 Lazarus 무기고의 백도어?

ESET 연구원들은 다음 중 하나를 발견했습니다. Wslink 다운로더 파일 이름을 기반으로 이 페이로드의 이름을 WinorDLL2021로 지정했습니다. WinorDLL64.dll. 파일 이름이 있는 Wslink WinorLoaderDLL64.dll는 다른 로더와 달리 서버로 실행되고 수신된 모듈을 메모리에서 실행하는 Windows 바이너리용 로더입니다. 단어에서 알 수 있듯이 로더는 이미 손상된 시스템에 페이로드 또는 실제 맬웨어를 로드하는 도구 역할을 합니다. 초기 Wslink 침해 벡터는 식별되지 않았습니다.

처음에 알려지지 않은 Wslink 페이로드는 블로그 게시물이 게시된 직후 한국에서 VirusTotal에 업로드되었으며 Wslink의 고유 이름을 기반으로 하는 YARA 규칙 중 하나에 맞았습니다. WinorDLL64. Wslink와 관련하여 ESET 원격 측정은 중부 유럽, 북미 및 중동에서 몇 번만 감지되었습니다.

XNUMXD덴탈의 WinorDLL64 페이로드는 특히 광범위한 시스템 정보를 획득하는 백도어 역할을 하며 파일 추출, 덮어쓰기, 제거와 같은 파일 조작 수단을 제공하고 추가 명령을 실행합니다. 흥미롭게도 Wslink 로더에 의해 이미 설정된 연결을 통해 통신합니다.

2021년에는 Wslink가 알려진 위협 행위자의 도구임을 시사하는 데이터를 찾지 못했습니다. 그러나 페이로드를 광범위하게 분석한 후 WinorDLL64 Lazarus APT 그룹에 표적 지역을 기반으로 신뢰도가 낮고 알려진 Lazarus 샘플과 동작 및 코드가 중복됩니다.

적어도 2009년부터 활동한 이 악명 높은 북한 연계 그룹은 소니 픽처스 엔터테인먼트 해킹 그리고 수십억 달러 2016년 사이버 범죄자Walk Through California 프로그램, WannaCryptor (일명 WannaCry) 2017년에 발생했으며, 한국의 공공 및 주요 인프라 적어도 2011년부터. US-CERT와 FBI는 이 그룹을 호출합니다. 숨겨진 코브라.

우리의 광범위한 지식 이 그룹의 활동과 운영에 대해 우리는 Lazarus가 체계적으로 조직되고 잘 준비된 대규모 팀으로 구성되어 있으며 대규모 도구 세트를 활용하는 여러 하위 그룹으로 구성되어 있다고 생각합니다. 작년에 우리는 Lazarus 도구를 발견했습니다. 을 활용한 CVE‑2021‑21551 네덜란드의 항공 우주 회사 직원과 벨기에의 정치 언론인을 대상으로 하는 취약성. 이것은 취약점의 첫 번째 남용으로 기록되었습니다. 이 도구와 취약점이 결합되어 손상된 시스템의 모든 보안 솔루션에 대한 모니터링이 불가능해졌습니다. 우리는 또한에 대한 광범위한 설명을 제공했습니다. 가상 머신의 구조 Wslink의 샘플에 사용됩니다.

이 블로그 게시물은 Lazarus에 대한 WinorDLL64의 속성을 설명하고 페이로드 분석을 제공합니다.

나사로 링크

Lazarus 샘플과 동작 및 코드에서 중복되는 부분을 발견했습니다. 고스트 시크릿 작전 그리고 뱅크샷 임플란트 McAfee에서 설명합니다. GhostSecret 및 Bankshot 기사의 임플란트 설명에는 WinorDLL64의 기능과 중복되는 부분이 포함되어 있으며 샘플에서 일부 코드 중복을 발견했습니다. 이 블로그 게시물에서는 FE887FCAB66D7D7F79F05E0266C0649F0114BA7C WinorDLL64와 비교하기 위한 GhostSecret의 샘플(1BA443FDE984CEE85EBD4D4FA7EB1263A6F1257F), 달리 명시되지 않는 한.

다음 세부 정보는 Lazarus에 대한 신뢰도가 낮은 속성을 뒷받침하는 사실을 요약한 것입니다.

1. 피해자학

• AhnLab의 동료 연구원들은 원격 측정에서 Wslink의 한국 피해자를 확인했는데, 이는 전통적인 Lazarus 표적을 고려한 관련 지표이며 우리는 몇 건의 적중만 관찰했습니다.

그림 1. mstoned7이 Ahnlab의 연구원인 보고된 한국인 피해자

2. 멀웨어

• McAfee에서 보고한 최신 GhostSecret 샘플(FE887FCAB66D7D7F79F05E0266C0649F0114BA7C)는 2018년 2018월 기준입니다. 우리는 2018년 말에 Wslink의 첫 번째 샘플을 발견했고 동료 연구자들은 XNUMX년 XNUMX월에 적중률을 보고했습니다. 따라서 이러한 샘플은 비교적 짧은 시간 간격으로 발견되었습니다.
• XNUMXD덴탈의 PE 리치 헤더 동일한 개발 환경과 유사한 크기의 프로젝트가 다른 여러 알려진 Lazarus 샘플(예: 70DE783E5D48C6FBB576BC494BAF0634BC304FD6; 8EC9219303953396E1CB7105CDB18ED6C568E962). 가중치가 낮은 지표인 이러한 Wslink 및 Lazarus 샘플만 다루는 다음 규칙을 사용하여 이러한 중복을 발견했습니다. 우리는 그들을 테스트 VirusTotal의 역추적 내부 파일 코퍼스.

rich_signature.length == 80 및
pe.rich_signature.toolid(175, 30319) == 7 및
pe.rich_signature.toolid(155, 30319) == 1 및
pe.rich_signature.toolid(158, 30319) == 10 및
pe.rich_signature.toolid(170, 30319) >= 90 및
pe.rich_signature.toolid(170, 30319) <= 108

이 규칙은 VirusTotal에서 더 읽기 쉽고 사용되는 다음 표기법으로 변환될 수 있습니다. 여기에서 제품 버전 및 빌드 ID를 볼 수 있습니다(VS2010 빌드 30319), 사용된 소스/오브젝트 파일의 수 및 유형([LTCG C++] 여기서 LTCG는 링크 타임 코드 생성을 의미하며, [ASM], [ 씨 ]), 수출 횟수([경험치]) 규칙에서:

[LTCG C++] VS2010 빌드 30319 개수=7
[EXP] VS2010 빌드 30319 개수=1
[ASM] VS2010 빌드 30319 개수=10
[ C ] VS2010 빌드 30319 [ 90 .. 108 ]에서 카운트

• GhostSecret 기사에서는 추가로 서비스로 실행되는 "인바운드 제어 서버 연결을 위해 포트 443에서 수신 대기하는 고유한 데이터 수집 및 임플란트 설치 구성 요소"에 대해 설명했습니다. 이는 구성에 따라 다를 수 있는 포트 번호를 제외한 Wslink 다운로더 동작에 대한 정확한 설명입니다. 요약하자면 구현은 다르지만 둘 다 동일한 목적을 수행합니다.
• 로더는 Oreans의 Code Virtualizer에 의해 가상화되며, 상용 프로텍터로 사용됩니다. 자주 나사로.
• 로더는 다음을 사용합니다. 메모리 모듈 메모리에서 직접 모듈을 로드하는 라이브러리. 이 라이브러리는 맬웨어에 의해 일반적으로 사용되지는 않지만 Lazarus 및 Kimsuky와 같은 북한 관련 그룹 사이에서 꽤 인기가 있습니다.
• 분석 중에 찾은 WinorDLL64와 GhostSecret 사이의 코드에서 중복됩니다. 귀인의 결과와 중요성은 표 1에 나열되어 있습니다.

표 1. WinorDLL64와 GhostSecret 사이의 유사점과 둘 다 동일한 위협 행위자에 기인한다는 점에서 이들의 중요성

파일 전송 기능의 코드 중복은 그림 2 및 그림 3에 강조 표시되어 있습니다.

그림 2. 파일을 보내는 GhostSecret

그림 3. 파일을 보내는 Wslink

기술적 분석

WinorDLL64는 특히 광범위한 시스템 정보를 획득하고 파일 조작 수단을 제공하며 추가 명령을 실행하는 백도어 역할을 합니다. 흥미롭게도 로더에 의해 이미 설정된 TCP 연결을 통해 통신하고 로더의 일부 기능을 사용합니다.

그림 4. Wslink의 통신 시각화

백도어는 하나의 매개변수를 허용하는 이름 없는 단일 내보내기가 있는 DLL입니다. 이전 블로그 포스트. 이 구조에는 TLS 컨텍스트(소켓, 키, IV)와 256비트 AES-CBC로 암호화된 메시지를 송수신하기 위한 콜백이 포함되어 있어 WinorDLL64가 이미 설정된 연결을 통해 운영자와 데이터를 안전하게 교환할 수 있습니다.

다음 사실은 라이브러리가 실제로 Wslink의 일부라는 확신을 갖게 합니다.

• 고유한 구조는 모든 곳에서 예상되는 방식으로 사용됩니다. 예를 들어 TLS 컨텍스트 및 기타 의미 있는 매개변수가 예상 순서대로 올바른 콜백에 제공됩니다.
• DLL의 이름은 WinorDLL64.dll Wslink의 이름은 WinorLoaderDLL64.dll.

WinorDLL64는 여러 명령을 허용합니다. 그림 5는 명령을 수신하고 처리하는 루프를 보여줍니다. 각 명령은 고유 ID에 바인딩되며 추가 매개변수가 포함된 구성을 허용합니다.

그림 5. 백도어 명령 수신 루프의 주요 부분

레이블이 있는 명령 목록은 그림 6에 있습니다.

그림 6. 명령 목록

표 2에는 수정된 WinorDLL64 명령의 요약이 포함되어 있으며 이전 범주는 이전에 문서화된 GhostSecret 기능과의 관계를 나타냅니다. 수정된 범주에서 중요한 변경 사항만 강조 표시합니다.

표 2. 백도어 명령 개요

결론

Wslink의 페이로드는 파일 조작, 추가 코드 실행 및 네트워크 세션에 대한 특정 관심으로 인해 나중에 측면 이동에 활용할 수 있는 기본 시스템에 대한 광범위한 정보를 얻기 위한 수단을 제공하는 데 전념합니다. Wslink 로더는 구성에 지정된 포트에서 수신하고 추가 연결 클라이언트에 서비스를 제공하고 다양한 페이로드를 로드할 수도 있습니다.

WinorDLL64는 여러 Lazarus 샘플과 함께 개발 환경, 동작 및 코드가 겹치는 부분을 포함하며, 이는 북한과 연계된 이 APT 그룹의 방대한 무기고에서 나온 도구일 수 있음을 나타냅니다.

IoC

MITRE ATT&CK 기술

이 테이블은 다음을 사용하여 제작되었습니다. 버전 12 ATT&CK 프레임워크의 로더의 기술은 다시 언급하지 않고 페이로드만 언급합니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 출처: https://www.welivesecurity.com/2023/02/23/winordll64-backdoor-vast-lazarus-arsenal/