WinorDLL64: Zadnja vrata iz velikega arzenala Lazarus?

ESET-ovi raziskovalci so odkrili eno od uporabnih obremenitev Prenosnik Wslink ki smo ga odkrili leta 2021. To koristno vsebino smo poimenovali WinorDLL64 glede na njeno ime datoteke WinorDLL64.dll. Wslink, ki je imela ime datoteke WinorLoaderDLL64.dll, je nalagalnik za binarne datoteke Windows, ki za razliko od drugih tovrstnih nalagalnikov deluje kot strežnik in izvaja prejete module v pomnilniku. Kot nakazuje besedilo, nalagalnik služi kot orodje za nalaganje tovora ali dejanske zlonamerne programske opreme v že ogrožen sistem. Začetni ogroženi vektor Wslink ni bil identificiran.

Sprva neznani tovor Wslink je bil naložen v VirusTotal iz Južne Koreje kmalu po objavi našega spletnega dnevnika in je dosegel eno od naših pravil YARA na podlagi edinstvenega imena Wslink WinorDLL64. Kar zadeva Wslink, je telemetrija ESET opazila le nekaj zaznav – v srednji Evropi, Severni Ameriki in na Bližnjem vzhodu.

O WinorDLL64 koristna obremenitev služi kot stranska vrata, ki predvsem pridobi obsežne sistemske informacije, zagotavlja sredstva za manipulacijo datotek, kot je eksfiltracija, prepisovanje in odstranjevanje datotek, ter izvaja dodatne ukaze. Zanimivo je, da komunicira prek povezave, ki jo je že vzpostavil nalagalnik Wslink.

Leta 2021 nismo našli nobenih podatkov, ki bi nakazovali, da je Wslink orodje znanega akterja grožnje. Vendar smo po obsežni analizi tovora pripisali WinorDLL64 skupini Lazarus APT z nizko stopnjo zaupanja glede na ciljno regijo in prekrivanjem v vedenju in kodi z znanimi vzorci Lazarus.

Ta zloglasna severnokorejska skupina, ki je aktivna vsaj od leta 2009, je odgovorna za odmevne incidente, kot sta Vdor v Sony Pictures Entertainment in na desetine milijonov dolarjev cyberheists leta 2016je WannaCryptor (aka WannaCry) izbruh leta 2017 in dolga zgodovina motečih napadov na Južnokorejska javna in kritična infrastruktura vsaj od leta 2011. US-CERT in FBI to skupino imenujeta SKRITA KOBRA.

Na podlagi našega obsežno znanje aktivnosti in delovanja te skupine menimo, da Lazarus sestavlja velika ekipa, ki je sistematično organizirana, dobro pripravljena in sestavljena iz več podskupin, ki uporabljajo velik nabor orodij. Lani smo odkril orodje Lazarus ki je izkoristil CVE-2021-21551 ranljivost za tarčo zaposlenega v letalskem podjetju na Nizozemskem in političnega novinarja v Belgiji. To je bila prva zabeležena zloraba ranljivosti; v kombinaciji sta orodje in ranljivost vodila do onemogočanja spremljanja vseh varnostnih rešitev na ogroženih strojih. Podali smo tudi obsežen opis strukturo virtualnega stroja uporabljen v vzorcih Wslink.

Ta objava v spletnem dnevniku pojasnjuje dodelitev WinorDLL64 Lazarusu in nudi analizo koristnega tovora.

Povezave do Lazarusa

Odkrili smo prekrivanja v vedenju in kodi z vzorci Lazarusa iz Operacija GhostSecret in Bankshot implantat opisal McAfee. Opis vsadkov v člankih GhostSecret in Bankshot vsebuje prekrivanja v funkcionalnosti z WinorDLL64 in našli smo nekaj prekrivanja kode v vzorcih. V tej objavi v blogu bomo uporabili samo FE887FCAB66D7D7F79F05E0266C0649F0114BA7C vzorec iz GhostSecret za primerjavo z WinorDLL64 (1BA443FDE984CEE85EBD4D4FA7EB1263A6F1257F), razen če je določeno drugače.

Naslednje podrobnosti povzemajo dejstva, ki podpirajo naše pripisovanje Lazarju z nizko stopnjo zaupanja:

1. Viktimologija

• Kolegi raziskovalci iz AhnLaba so v svoji telemetriji potrdili južnokorejske žrtve Wslinka, kar je relevanten pokazatelj glede na tradicionalne tarče Lazarusa in da smo opazili le nekaj zadetkov.

Slika 1. Prijavljena južnokorejska žrtev, kjer je mstoned7 raziskovalec iz Ahnlaba

2. Zlonamerna programska oprema

• Najnovejši vzorec GhostSecret, ki ga je poročal McAfee (FE887FCAB66D7D7F79F05E0266C0649F0114BA7C) je od februarja 2018; prvi vzorec Wslink smo opazili konec leta 2018, kolegi raziskovalci pa so avgusta 2018 poročali o zadetkih, ki so jih razkrili po naši objavi. Zato so bili ti vzorci opaženi v razmeroma kratkem časovnem razmaku.
• O PE bogate glave kažejo, da so bili isto razvojno okolje in projekti podobne velikosti uporabljeni v več drugih znanih vzorcih Lazarusa (npr. 70DE783E5D48C6FBB576BC494BAF0634BC304FD6; 8EC9219303953396E1CB7105CDB18ED6C568E962). To prekrivanje smo ugotovili z uporabo naslednjih pravil, ki zajemajo samo te vzorce Wslink in Lazarus, kar je indikator z nizko težo. Preizkusili smo jih na VirusTotalov povratni lov in naš notranji datotečni korpus.

rich_signature.length == 80 in
pe.rich_signature.toolid(175, 30319) == 7 in
pe.rich_signature.toolid(155, 30319) == 1 in
pe.rich_signature.toolid(158, 30319) == 10 in
pe.rich_signature.toolid(170, 30319) >= 90 in
pe.rich_signature.toolid(170, 30319) <= 108

To pravilo je mogoče prevesti v naslednji zapis, ki je bolj berljiv in ga uporablja VirusTotal, kjer je mogoče videti različico izdelka in ID gradnje (VS2010 build 30319), število in vrsta uporabljenih izvornih/predmetnih datotek ([LTCG C++] kjer LTCG pomeni generiranje časovne kode povezave, [ASM], [ C ])in število izvozov ([EXP]) v pravilu:

[LTCG C++] VS2010 build 30319 count=7
[EXP] VS2010 build 30319 count=1
[ASM] VS2010 build 30319 count=10
[ C ] VS2010 build 30319 šteje v [ 90 .. 108 ]

• Članek GhostSecret opisuje "edinstveno komponento za zbiranje podatkov in namestitev vsadkov, ki na vratih 443 posluša vhodne povezave nadzornega strežnika", ki se poleg tega izvaja kot storitev. To je natančen opis vedenja prenosnika Wslink, razen številke vrat, ki se lahko razlikuje glede na konfiguracijo. Če povzamem, čeprav je izvedba različna, obe služita istemu namenu.
• Nalagalnik virtualizira Oreansov Code Virtualizer, ki je komercialni zaščitnik, ki se uporablja pogosto avtor Lazarus.
• Nakladalnik uporablja MemoryModule knjižnica za nalaganje modulov neposredno iz pomnilnika. Knjižnice zlonamerna programska oprema običajno ne uporablja, vendar je zelo priljubljena med skupinami, ki so povezane s Severno Korejo, kot sta Lazarus in Kimsuky.
• Prekrivanje v kodi med WinorDLL64 in GhostSecret, ki smo ga odkrili med analizo. Rezultati in pomen pri atribuciji so navedeni v tabeli 1.

Tabela 1. Podobnosti med WinorDLL64 in GhostSecret ter njihov pomen pri pripisovanju obeh istemu akterju grožnje

Prekrivanje kode v funkciji pošiljanja datoteke je označeno na sliki 2 in sliki 3.

Slika 2. GhostSecret pošilja datoteko

Slika 3. Wslink pošilja datoteko

Tehnična analiza

WinorDLL64 služi kot stranska vrata, ki predvsem pridobiva obsežne sistemske informacije, zagotavlja sredstva za manipulacijo datotek in izvaja dodatne ukaze. Zanimivo je, da komunicira prek povezave TCP, ki jo je že vzpostavil njegov nalagalnik, in uporablja nekatere funkcije nalagalnika.

Slika 4. Vizualizacija komunikacije Wslink

Zadnja vrata so DLL z enim neimenovanim izvozom, ki sprejme en parameter – strukturo za komunikacijo, ki je bila že opisana v našem prejšnja objava v spletnem dnevniku. Struktura vsebuje TLS-kontekst – socket, key, IV – in povratne klice za pošiljanje in prejemanje sporočil, šifriranih z 256-bitnim AES-CBC, ki WinorDLL64 omogočajo varno izmenjavo podatkov z operaterjem prek že vzpostavljene povezave.

Naslednja dejstva nas vodijo k prepričanju, da je knjižnica res del Wslink:

• Edinstvena struktura se povsod uporablja na pričakovan način, npr. TLS-kontekst in drugi pomembni parametri so dobavljeni v pričakovanem vrstnem redu pravilnim povratnim klicem.
• Ime DLL-ja je WinorDLL64.dll in Wslinku je bilo ime WinorLoaderDLL64.dll.

WinorDLL64 sprejme več ukazov. Slika 5 prikazuje zanko, ki sprejema in obravnava ukaze. Vsak ukaz je vezan na edinstven ID in sprejme konfiguracijo, ki vsebuje dodatne parametre.

Slika 5. Glavni del zanke za sprejemanje ukazov stranskih vrat

Seznam ukazov z našimi oznakami je na sliki 6.

Slika 6. Seznam ukazov

Tabela 2 vsebuje povzetek ukazov WinorDLL64, kjer so bili spremenjeni, stare kategorije pa se nanašajo na razmerje s predhodno dokumentirano funkcionalnostjo GhostSecret. Izpostavljamo le pomembne spremembe v spremenjeni kategoriji.

Tabela 2. Pregled backdoor ukazov

zaključek

Koristna obremenitev Wslink je namenjena zagotavljanju sredstev za manipulacijo datotek, izvajanje nadaljnje kode in pridobivanje obsežnih informacij o osnovnem sistemu, ki jih je mogoče pozneje uporabiti za bočno premikanje zaradi posebnega zanimanja za omrežne seje. Nalagalnik Wslink posluša vrata, določena v konfiguraciji, in lahko streže dodatnim povezovalnim odjemalcem ter celo nalaga različne obremenitve.

WinorDLL64 vsebuje prekrivanje v razvojnem okolju, vedenju in kodi z več vzorci Lazarusa, kar nakazuje, da bi lahko šlo za orodje iz velikega arzenala te severnokorejske skupine APT.

IoC

Tehnike MITER ATT&CK

Ta tabela je bila izdelana z uporabo različica 12 okvira ATT&CK. Ne omenjamo več tehnike iz nakladalnika, le tovor.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
• vir: https://www.welivesecurity.com/2023/02/23/winordll64-backdoor-vast-lazarus-arsenal/