WinorDLL64: een achterdeur uit het enorme Lazarus-arsenaal?

ESET-onderzoekers hebben een van de payloads van de Wslink-downloader die we in 2021 ontdekten. We noemden deze payload WinorDLL64 op basis van de bestandsnaam WinorDLL64.dll. Wslink, die de bestandsnaam WinorLoaderDLL64.dll, is een loader voor Windows-binaries die, in tegenstelling tot andere dergelijke loaders, draait als een server en ontvangen modules in het geheugen uitvoert. Zoals de bewoording suggereert, dient een loader als een hulpmiddel om een ​​payload, of de daadwerkelijke malware, op het reeds gecompromitteerde systeem te laden. De initiële Wslink-compromisvector is niet geïdentificeerd.

De aanvankelijk onbekende Wslink-payload werd kort na de publicatie van onze blogpost geüpload naar VirusTotal vanuit Zuid-Korea en raakte een van onze YARA-regels op basis van de unieke naam van Wslink WinorDLL64. Met betrekking tot Wslink heeft ESET-telemetrie slechts een paar detecties gezien – in Centraal-Europa, Noord-Amerika en het Midden-Oosten.

De WinorDLL64 payload dient als een achterdeur die met name uitgebreide systeeminformatie verwerft, middelen biedt voor bestandsmanipulatie, zoals het exfiltreren, overschrijven en verwijderen van bestanden, en aanvullende opdrachten uitvoert. Interessant is dat het communiceert via een verbinding die al tot stand is gebracht door de Wslink-lader.

In 2021 hebben we geen gegevens gevonden die suggereren dat Wslink een tool is van een bekende bedreigingsactor. Echter, na een uitgebreide analyse van de lading hebben we die toegewezen WinorDLL64 naar de Lazarus APT-groep met weinig vertrouwen op basis van de beoogde regio en een overlap in zowel gedrag als code met bekende Lazarus-voorbeelden.

Deze beruchte Noord-Koreaanse groep is actief sinds minstens 2009 en is verantwoordelijk voor spraakmakende incidenten zoals de Sony Pictures Entertainment-hack en tientallen miljoenen dollars cyberroof in 2016 WannaCryptor (ook bekend als WannaCry) uitbraak in 2017, en een lange geschiedenis van ontwrichtende aanvallen tegen Zuid-Koreaanse openbare en kritieke infrastructuur sinds minstens 2011. US-CERT en de FBI noemen deze groep VERBORGEN COBRA.

Gebaseerd op onze uitgebreide kennis van de activiteiten en operaties van deze groep, geloven we dat Lazarus bestaat uit een groot team dat systematisch is georganiseerd, goed voorbereid en bestaat uit verschillende subgroepen die een grote toolset gebruiken. Vorig jaar wij ontdekte een Lazarus-tool dat profiteerde van de CVE-2021-21551 kwetsbaarheid om een ​​medewerker van een ruimtevaartbedrijf in Nederland en een politiek journalist in België als doelwit te nemen. Het was het eerste geregistreerde misbruik van de kwetsbaarheid; de combinatie van de tool en de kwetsbaarheid leidde tot verblinding van de monitoring van alle beveiligingsoplossingen op gecompromitteerde machines. We hebben ook een uitgebreide beschrijving van de structuur van de virtuele machine gebruikt in monsters van Wslink.

Deze blogpost legt de toeschrijving van WinorDLL64 aan Lazarus uit en geeft een analyse van de payload.

Links naar Lazarus

We hebben overlappingen ontdekt in zowel gedrag als code met Lazarus-samples van Operatie GhostSecret en Bankshot-implantaat beschreven door McAfee. De beschrijving van de implantaten in zowel GhostSecret- als Bankshot-artikelen bevat overlappingen in de functionaliteit met WinorDLL64 en we vonden enige code-overlap in de voorbeelden. In deze blogpost gebruiken we alleen de FE887FCAB66D7D7F79F05E0266C0649F0114BA7C voorbeeld van GhostSecret voor vergelijking met WinorDLL64 (1BA443FDE984CEE85EBD4D4FA7EB1263A6F1257F), tenzij anders aangegeven.

De volgende details vatten de ondersteunende feiten samen voor onze toeschrijving van weinig vertrouwen aan Lazarus:

1. Victimologie

• Collega-onderzoekers van AhnLab bevestigden Zuid-Koreaanse slachtoffers van Wslink in hun telemetrie, wat een relevante indicator is gezien de traditionele Lazarus-doelen en dat we slechts een paar treffers hebben waargenomen.

Figuur 1. Gerapporteerd Zuid-Koreaans slachtoffer, waarbij mstoned7 de onderzoeker van Ahnlab is

2. malware

• Het nieuwste GhostSecret-voorbeeld gerapporteerd door McAfee (FE887FCAB66D7D7F79F05E0266C0649F0114BA7C) is van februari 2018; we zagen de eerste steekproef van Wslink eind 2018 en collega-onderzoekers meldden hits in augustus 2018, die ze na onze publicatie bekendmaakten. Daarom werden deze monsters met een relatief korte periode van elkaar gespot.
• De PE-rijke headers geven aan dat dezelfde ontwikkelomgeving en projecten van vergelijkbare omvang werden gebruikt in verschillende andere bekende Lazarus-samples (bijv. 70DE783E5D48C6FBB576BC494BAF0634BC304FD6; 8EC9219303953396E1CB7105CDB18ED6C568E962). We hebben deze overlap gevonden met behulp van de volgende regels die alleen van toepassing zijn op deze Wslink- en Lazarus-voorbeelden, wat een indicator is met een laag gewicht. We hebben ze getest Retrohunt van VirusTotal en ons interne dossiercorpus.

rich_signature.length == 80 en
pe.rich_signature.toolid(175, 30319) == 7 en
pe.rich_signature.toolid(155, 30319) == 1 en
pe.rich_signature.toolid(158, 30319) == 10 en
pe.rich_signature.toolid(170, 30319) >= 90 en
pe.rich_signature.toolid(170, 30319) <= 108

Deze regel kan worden vertaald naar de volgende notatie die beter leesbaar is en wordt gebruikt door VirusTotal, waar men de productversie en build-ID kan zien (VS2010 bouwt 30319), aantal en type gebruikte bron-/objectbestanden ([LTCG C++] waarbij LTCG staat voor Link Time Code Generation, [ASM], [ C ]), en aantal exporten ([EXP]) in de regel:

[LTCG C++] VS2010 build 30319 aantal=7
[EXP] VS2010 build 30319 aantal=1
[ASM] VS2010 build 30319 aantal=10
[ C ] VS2010 build 30319 tel in [ 90 .. 108 ]

• Het GhostSecret-artikel beschreef "een unieke component voor gegevensverzameling en implantatie-installatie die luistert op poort 443 voor inkomende controleserververbindingen" die bovendien als een service draaide. Dit is een nauwkeurige beschrijving van het gedrag van de Wslink-downloader, afgezien van het poortnummer, dat kan variëren op basis van de configuratie. Kortom, ook al is de implementatie anders, beide dienen hetzelfde doel.
• De loader is gevirtualiseerd door Oreans' Code Virtualizer, een commerciële beschermer die wordt gebruikt vaak door Lazarus.
• De lader gebruikt de Geheugenmodule bibliotheek om modules rechtstreeks uit het geheugen te laden. De bibliotheek wordt niet vaak gebruikt door malware, maar is behoorlijk populair onder Noord-Koreaanse groepen zoals Lazarus en Kimsuky.
• Overlap in de code tussen WinorDLL64 en GhostSecret die we tijdens onze analyse hebben gevonden. De resultaten en de significantie in attributie staan ​​vermeld in tabel 1.

Tabel 1. Overeenkomsten tussen WinorDLL64 en GhostSecret en hun belang bij het toeschrijven van beide aan dezelfde bedreigingsactor

Code-overlapping in de functionaliteit voor het verzenden van bestanden wordt gemarkeerd in Afbeelding 2 en Afbeelding 3.

Figuur 2. GhostSecret verzendt een bestand

Figuur 3. Wslink verzendt een bestand

Technische analyse

WinorDLL64 dient als een achterdeur die met name uitgebreide systeeminformatie verwerft, middelen biedt voor bestandsmanipulatie en aanvullende opdrachten uitvoert. Interessant is dat het communiceert via een TCP-verbinding die al tot stand is gebracht door de lader en sommige van de functies van de lader gebruikt.

Figuur 4. Visualisatie van de communicatie van Wslink

De achterdeur is een DLL met een enkele naamloze export die één parameter accepteert – een structuur voor communicatie die al werd beschreven in onze vorige blogpost. De structuur bevat een TLS-context – socket, key, IV – en callbacks voor het verzenden en ontvangen van berichten versleuteld met 256-bit AES-CBC waarmee WinorDLL64 veilig gegevens kan uitwisselen met de operator via een reeds bestaande verbinding.

De volgende feiten doen ons met groot vertrouwen geloven dat de bibliotheek inderdaad deel uitmaakt van Wslink:

• De unieke structuur wordt overal op de verwachte manier gebruikt, de TLS-context en andere betekenisvolle parameters worden bijvoorbeeld in de verwachte volgorde aangeleverd bij de juiste callbacks.
• De naam van de DLL is WinorDLL64.dll en Wslinks naam was WinorLoaderDLL64.dll.

WinorDLL64 accepteert verschillende opdrachten. Afbeelding 5 toont de lus die opdrachten ontvangt en afhandelt. Elke opdracht is gebonden aan een uniek ID en accepteert een configuratie die aanvullende parameters bevat.

Figuur 5. Het grootste deel van de commando-ontvangstlus van de achterdeur

De commandolijst, met onze labels, staat in figuur 6.

Figuur 6. De commandolijst

Tabel 2 bevat een samenvatting van de WinorDLL64-opdrachten, indien gewijzigd, en oude categorieën verwijzen naar de relatie met de eerder gedocumenteerde GhostSecret-functionaliteit. We markeren alleen significante wijzigingen in de gewijzigde categorie.

Tabel 2. Overzicht van achterdeuropdrachten

Conclusie

De payload van Wslink is bedoeld om middelen te bieden voor bestandsmanipulatie, uitvoering van verdere code en het verkrijgen van uitgebreide informatie over het onderliggende systeem die mogelijk later kan worden gebruikt voor laterale verplaatsing, vanwege specifieke interesse in netwerksessies. De Wslink-lader luistert op een poort die is opgegeven in de configuratie en kan extra verbindende clients bedienen en zelfs verschillende payloads laden.

WinorDLL64 bevat een overlap in de ontwikkelomgeving, het gedrag en de code met verschillende Lazarus-samples, wat aangeeft dat het een hulpmiddel zou kunnen zijn uit het enorme arsenaal van deze Noord-Koreaanse APT-groep.

IoC's

MITRE ATT&CK-technieken

Deze tafel is gemaakt met behulp van versie 12 van het ATT&CK-raamwerk. Technieken van de lader noemen we niet nog een keer, alleen het laadvermogen.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
• Bron: https://www.welivesecurity.com/2023/02/23/winordll64-backdoor-vast-lazarus-arsenal/