WinorDLL64: O ușă din spate din vastul arsenal Lazăr?

Cercetătorii ESET au descoperit una dintre sarcinile utile ale Descărcător Wslink pe care l-am descoperit în 2021. Am numit această sarcină utilă WinorDLL64 pe baza numelui său de fișier WinorDLL64.dll. Wslink, care avea numele fișierului WinorLoaderDLL64.dll, este un încărcător pentru binare Windows care, spre deosebire de alte astfel de încărcătoare, rulează ca un server și execută modulele primite în memorie. După cum sugerează formularea, un încărcător servește ca instrument pentru a încărca o sarcină utilă, sau malware-ul real, pe sistemul deja compromis. Vectorul inițial de compromis Wslink nu a fost identificat.

Sarcina utilă Wslink inițial necunoscută a fost încărcată în VirusTotal din Coreea de Sud la scurt timp după publicarea postării noastre pe blog și a atins una dintre regulile noastre YARA bazate pe numele unic al Wslink. WinorDLL64. În ceea ce privește Wslink, telemetria ESET a înregistrat doar câteva detectări – în Europa Centrală, America de Nord și Orientul Mijlociu.

WinorDLL64 sarcina utilă servește ca o ușă din spate care, în special, obține informații extinse de sistem, oferă mijloace pentru manipularea fișierelor, cum ar fi exfiltrarea, suprascrierea și eliminarea fișierelor și execută comenzi suplimentare. Interesant este că comunică printr-o conexiune care a fost deja stabilită de încărcătorul Wslink.

În 2021, nu am găsit date care să sugereze că Wslink este un instrument de la un actor cunoscut de amenințări. Cu toate acestea, după o analiză amplă a sarcinii utile, am atribuit WinorDLL64 la grupul Lazarus APT cu o încredere scăzută bazată pe regiunea țintă și o suprapunere atât a comportamentului, cât și a codului cu mostrele Lazarus cunoscute.

Activ din 2009 cel puțin, acest grup infam aliniat la Coreea de Nord este responsabil pentru incidente importante, cum ar fi atât Hack Sony Pictures Entertainment și zeci de milioane de dolari cyberheists în 2016, WannaCryptor (aka WannaCry) focar din 2017 și o lungă istorie de atacuri perturbatoare împotriva Infrastructura publică și critică sud-coreeană din 2011 cel puțin. US-CERT și FBI numesc acest grup COBRA ASCUNS.

Pe baza noastră cunostinte extensive Din activitățile și operațiunile acestui grup, credem că Lazăr constă dintr-o echipă mare care este organizată sistematic, bine pregătită și este formată din mai multe subgrupuri care utilizează un set mare de instrumente. Anul trecut, noi a descoperit un instrument Lazăr care a profitat de CVE-2021-21551 vulnerabilitatea de a viza un angajat al unei companii aerospațiale din Țările de Jos și un jurnalist politic din Belgia. A fost primul abuz înregistrat de vulnerabilitate; în combinație, instrumentul și vulnerabilitatea au dus la orbirea monitorizării tuturor soluțiilor de securitate pe mașinile compromise. Am oferit, de asemenea, o descriere extinsă a structura mașinii virtuale utilizat în mostre de Wslink.

Această postare de blog explică atribuirea lui WinorDLL64 lui Lazarus și oferă o analiză a sarcinii utile.

Legături către Lazăr

Am descoperit suprapuneri atât în ​​ceea ce privește comportamentul, cât și codul cu mostrele Lazarus din Operațiunea GhostSecret si Implant Bankshot descris de McAfee. Descrierea implanturilor din articolele GhostSecret și Bankshot conține suprapuneri în funcționalitatea cu WinorDLL64 și am găsit unele suprapuneri de cod în mostre. În această postare pe blog vom folosi numai FE887FCAB66D7D7F79F05E0266C0649F0114BA7C eșantion de la GhostSecret pentru comparație cu WinorDLL64 (1BA443FDE984CEE85EBD4D4FA7EB1263A6F1257F), dacă nu se specifică altfel.

Următoarele detalii rezumă faptele justificative pentru atribuirea noastră scăzută de încredere lui Lazăr:

1. Victimologie

• Colegii de cercetare de la AhnLab au confirmat victimele sud-coreene ale Wslink în telemetria lor, care este un indicator relevant având în vedere țintele tradiționale Lazăr și că am observat doar câteva lovituri.

Figura 1. Victimă sud-coreeană raportată, unde mstoned7 este cercetătorul de la Ahnlab

2. Programele malware

• Cel mai recent eșantion GhostSecret raportat de McAfee (FE887FCAB66D7D7F79F05E0266C0649F0114BA7C) este din februarie 2018; am observat primul eșantion de Wslink la sfârșitul anului 2018, iar colegii de cercetare au raportat rezultate în august 2018, pe care le-au dezvăluit după publicarea noastră. Prin urmare, aceste mostre au fost observate la o perioadă relativ scurtă de timp între ele.
• Anteturi bogate PE indică faptul că același mediu de dezvoltare și proiecte de dimensiuni similare au fost utilizate în alte câteva mostre cunoscute de Lazăr (de exemplu, 70DE783E5D48C6FBB576BC494BAF0634BC304FD6; 8EC9219303953396E1CB7105CDB18ED6C568E962). Am găsit această suprapunere folosind următoarele reguli care acoperă numai aceste mostre Wslink și Lazarus, care este un indicator cu o greutate mică. Le-am testat Retrovânătoarea lui VirusTotal și corpusul nostru intern de fișiere.

semnătura_bogată.lungime == 80 și
pe.rich_signature.toolid(175, 30319) == 7 și
pe.rich_signature.toolid(155, 30319) == 1 și
pe.rich_signature.toolid(158, 30319) == 10 și
pe.rich_signature.toolid(170, 30319) >= 90 și
pe.rich_signature.toolid(170, 30319) <= 108

Această regulă poate fi tradusă în următoarea notație, care este mai lizibilă și mai utilizată de VirusTotal, unde se poate vedea versiunea produsului și ID-ul build (VS2010 build 30319), numărul și tipul fișierelor sursă/obiect utilizate ([LTCG C++] unde LTCG înseamnă Link Time Code Generation, [ASM], [C])și numărul de exporturi ([EXP]) în regulă:

[LTCG C++] VS2010 build 30319 count=7
[EXP] VS2010 build 30319 count=1
[ASM] VS2010 build 30319 count=10
[ C ] VS2010 build 30319 numără în [ 90 .. 108 ]

• Articolul GhostSecret a descris „o componentă unică de colectare a datelor și instalare de implant care ascultă pe portul 443 conexiunile la serverul de control de intrare” care rulează în plus ca un serviciu. Aceasta este o descriere exactă a comportamentului descarcătorului Wslink, în afară de numărul portului, care poate varia în funcție de configurație. Pentru a rezuma, chiar dacă implementarea este diferită, ambele servesc aceluiași scop.
• Încărcătorul este virtualizat de Oreans' Code Virtualizer, care este un protector comercial care este utilizat frecvent de Lazăr.
• Încărcătorul folosește Modulul de memorie bibliotecă pentru a încărca module direct din memorie. Biblioteca nu este folosită în mod obișnuit de malware, dar este destul de populară printre grupurile aliniate Coreei de Nord, cum ar fi Lazarus și Kimsuky.
• Suprapune în codul dintre WinorDLL64 și GhostSecret pe care l-am găsit în timpul analizei noastre. Rezultatele și semnificația în atribuire sunt enumerate în Tabelul 1.

Tabelul 1. Asemănări între WinorDLL64 și GhostSecret și semnificația lor în atribuirea ambelor aceluiași actor de amenințare

Suprapunerea codului în funcționalitatea de trimitere a fișierelor este evidențiată în Figura 2 și Figura 3.

Figura 2. GhostSecret trimite un fișier

Figura 3. Wslink trimite un fișier

Analiza tehnica

WinorDLL64 servește ca o ușă din spate care, în special, obține informații extinse de sistem, oferă mijloace pentru manipularea fișierelor și execută comenzi suplimentare. Interesant este că comunică printr-o conexiune TCP care a fost deja stabilită de încărcătorul său și utilizează unele dintre funcțiile încărctorului.

Figura 4. Vizualizarea comunicării lui Wslink

Ușa din spate este un DLL cu un singur export fără nume care acceptă un parametru - o structură pentru comunicare care a fost deja descrisă în postarea anterioară pe blog. Structura conține un context TLS – socket, cheie, IV – și apeluri inverse pentru trimiterea și primirea mesajelor criptate cu AES-CBC pe 256 de biți care permit lui WinorDLL64 să schimbe date în siguranță cu operatorul printr-o conexiune deja stabilită.

Următoarele fapte ne fac să credem cu mare încredere că biblioteca face într-adevăr parte din Wslink:

• Structura unică este utilizată peste tot în modul așteptat, de exemplu, contextul TLS și alți parametri semnificativi sunt furnizați în ordinea anticipată la apelurile corecte.
• Numele DLL-ului este WinorDLL64.dll iar numele lui Wslink era WinorLoaderDLL64.dll.

WinorDLL64 acceptă mai multe comenzi. Figura 5 afișează bucla care primește și gestionează comenzi. Fiecare comandă este legată de un ID unic și acceptă o configurație care conține parametri suplimentari.

Figura 5. Partea principală a buclei de recepție a comenzii ușii din spate

Lista de comenzi, cu etichetele noastre, este în Figura 6.

Figura 6. Lista de comenzi

Tabelul 2 conține un rezumat al comenzilor WinorDLL64, unde sunt modificate, iar categoriile vechi se referă la relația cu funcționalitatea GhostSecret documentată anterior. Subliniem doar schimbări semnificative în categoria modificată.

Tabelul 2. Prezentare generală a comenzilor backdoor

Concluzie

Sarcina utilă a lui Wslink este dedicată furnizării de mijloace pentru manipularea fișierelor, execuția de cod suplimentar și obținerea de informații extinse despre sistemul de bază, care poate fi folosit mai târziu pentru deplasarea laterală, datorită interesului specific pentru sesiunile de rețea. Încărcătorul Wslink ascultă pe un port specificat în configurație și poate servi clienți de conectare suplimentari și chiar poate încărca diverse sarcini utile.

WinorDLL64 conține o suprapunere în mediul de dezvoltare, comportament și cod cu mai multe mostre Lazarus, ceea ce indică faptul că ar putea fi un instrument din vastul arsenal al acestui grup APT aliniat la Coreea de Nord.

IoC-uri

Tehnici MITRE ATT&CK

Acest tabel a fost construit folosind Versiunea 12 a cadrului ATT&CK. Nu mai amintim tehnici de la încărcător, ci doar sarcina utilă.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
• Sursa: https://www.welivesecurity.com/2023/02/23/winordll64-backdoor-vast-lazarus-arsenal/