WinorDLL64：来自庞大的 Lazarus 武器库的后门？

ESET 研究人员发现了 Wslink下载器 我们在 2021 年发现的。我们根据其文件名将此有效负载命名为 WinorDLL64 WinorDLL64.dll. Wslink，它有文件名 WinorLoaderDLL64.dll, 是 Windows 二进制文件的加载器，与其他此类加载器不同，它作为服务器运行并在内存中执行接收到的模块。 正如措辞所暗示的那样，加载程序用作将有效负载或实际恶意软件加载到已经受损的系统上的工具。 尚未确定最初的 Wslink 妥协向量。

最初未知的 Wslink 负载在我们的博文发布后不久从韩国上传到 VirusTotal，并根据 Wslink 的唯一名称命中了我们的 YARA 规则之一 WinorDLL64. 关于 Wslink，ESET 遥测仅在中欧、北美和中东发现了一些检测结果。

WinorDLL64 payload 充当后门，最显着的是获取大量系统信息，提供文件操作手段，例如泄露、覆盖和删除文件，并执行其他命令。 有趣的是，它通过 Wslink 加载程序已经建立的连接进行通信。

在 2021 年，我们没有发现任何数据表明 Wslink 是来自已知威胁参与者的工具。 然而，在对有效载荷进行广泛分析后，我们归因于 WinorDLL64 对基于目标区域的低置信度的 Lazarus APT 组以及行为和代码与已知 Lazarus 样本的重叠。

这个臭名昭著的与朝鲜结盟的组织至少从 2009 年开始活跃，对一些备受瞩目的事件负责，例如 索尼影视娱乐黑客 和数千万美元 2016 年的网络抢劫者是， WannaCryptor （又名 WannaCry）于 2017 年爆发，以及针对 韩国公共和关键基础设施 至少从 2011 年开始。US-CERT 和 FBI 称该组为 隐藏眼镜蛇.

基于我们 博闻强识 从这个小组的活动和运营来看，我们认为 Lazarus 由一个系统组织、准备充分的大型团队组成，并由几个使用大型工具集的子组组成。 去年，我们 发现了一个 Lazarus 工具 那利用了 CVE-2021，21551 荷兰一家航空航天公司的员工和比利时的一名政治记者的漏洞。 这是该漏洞首次被记录在案； 结合起来，该工具和漏洞导致对受感染机器上所有安全解决方案的监控失明。 我们还提供了广泛的描述 虚拟机的结构 在 Wslink 的示例中使用。

这篇博文解释了 WinorDLL64 归因于 Lazarus，并提供了对有效载荷的分析。

拉撒路的链接

我们发现行为和代码与来自 Lazarus 的样本存在重叠 幽灵秘密行动 和 Bankshot植入物 McAfee 描述的。 GhostSecret 和 Bankshot 文章中对植入程序的描述都包含与 WinorDLL64 的功能重叠，我们在样本中发现了一些代码重叠。 在这篇博文中，我们将只使用 FE887FCAB66D7D7F79F05E0266C0649F0114BA7C 来自 GhostSecret 的示例，用于与 WinorDLL64 进行比较（1BA443FDE984CEE85EBD4D4FA7EB1263A6F1257F), 除非另有说明。

以下详细信息总结了我们将低可信度归因于 Lazarus 的支持事实：

1. 受害者学

• AhnLab 的研究人员在他们的遥测中确认了 Wslink 的韩国受害者，考虑到传统的 Lazarus 目标，这是一个相关指标，我们只观察到几次命中。

图 1. 报告的韩国受害者，其中 mstoned7 是 Ahnlab 的研究员

2。 恶意软件

• McAfee 报告的最新 GhostSecret 样本（FE887FCAB66D7D7F79F05E0266C0649F0114BA7C) 是从 2018 年 2018 月开始； 我们在 2018 年底发现了 Wslink 的第一个样本，其他研究人员在 XNUMX 年 XNUMX 月报告了命中率，他们在我们发表后披露了这些命中率。 因此，这些样本被发现的时间间隔相对较短。
• PE 富标头 表明在其他几个已知的 Lazarus 样本中使用了相同的开发环境和类似规模的项目（例如， 70DE783E5D48C6FBB576BC494BAF0634BC304FD6; 8EC9219303953396E1CB7105CDB18ED6C568E962). 我们使用以下仅涵盖这些 Wslink 和 Lazarus 样本的规则发现了这种重叠，这是一个低权重的指标。 我们对它们进行了测试 VirusTotal 的追查 和我们的内部文件语料库。

rich_signature.length == 80 和
pe.rich_signature.toolid(175, 30319) == 7 和
pe.rich_signature.toolid(155, 30319) == 1 和
pe.rich_signature.toolid(158, 30319) == 10 和
pe.rich_signature.toolid(170, 30319) >= 90 和
pe.rich_signature.toolid(170, 30319) <= 108

此规则可以转换为以下更易读并由 VirusTotal 使用的符号，其中可以看到产品版本和构建 ID (VS2010 构建 30319), 使用的源文件/目标文件的数量和类型 ([LTCG C++] 其中 LTCG 代表链接时间代码生成， [ASM], [ C ]）, 和出口数量 ([经验]) 在规则中：

[LTCG C++] VS2010 构建 30319 计数 = 7
[EXP] VS2010 版本 30319 计数=1
[ASM] VS2010 构建 30319 计数=10
[C] VS2010 build 30319 在 [90 .. 108] 中计数

• GhostSecret 文章描述了“一个独特的数据收集和植入安装组件，它在端口 443 上侦听入站控制服务器连接”，该组件另外作为服务运行。 这是对 Wslink 下载程序行为的准确描述，端口号除外，端口号可能因配置而异。 总而言之，尽管实现方式不同，但两者的目的相同。
• 加载器由Oreans的Code Virtualizer虚拟化，这是一个商业保护器，用于 频繁 由拉撒路。
• 装载机使用 内存模块 库直接从内存加载模块。 该库不常被恶意软件使用，但在 Lazarus 和 Kimsuky 等与朝鲜结盟的组织中非常流行。
• 我们在分析过程中发现 WinorDLL64 和 GhostSecret 之间的代码重叠。 表 1 列出了结果和归因显着性。

表 1. WinorDLL64 和 GhostSecret 之间的相似之处以及它们在将两者归因于同一威胁参与者方面的重要性

文件发送功能中的代码重叠在图 2 和图 3 中突出显示。

图 2. GhostSecret 发送文件

图 3. Wslink 发送文件

技术分析

WinorDLL64 充当后门，最显着的是获取大量系统信息，提供文件操作手段，并执行其他命令。 有趣的是，它通过加载程序已经建立的 TCP 连接进行通信，并使用加载程序的一些功能。

图 4. Wslink 通信的可视化

后门是一个 DLL，带有一个接受一个参数的未命名导出——一种已经在我们的文章中描述过的通信结构 以前的博文. 该结构包含一个 TLS 上下文——套接字、密钥、IV——以及用于发送和接收使用 256 位 AES-CBC 加密的消息的回调，使 WinorDLL64 能够通过已建立的连接与操作员安全地交换数据。

以下事实使我们非常有信心地相信该库确实是 Wslink 的一部分：

• 独特的结构以预期的方式在任何地方使用，例如，TL​​S 上下文和其他有意义的参数以预期的顺序提供给正确的回调。
• DLL 的名称是 WinorDLL64.dll Wslink 的名字是 WinorLoaderDLL64.dll.

WinorDLL64 接受多个命令。 图 5 显示了接收和处理命令的循环。 每个命令都绑定到一个唯一的 ID，并接受包含其他参数的配置。

图 5. 后门命令接收循环的主要部分

带有我们的标签的命令列表如图 6 所示。

图 6. 命令列表

表 2 包含 WinorDLL64 命令的摘要，其中修改的和旧的类别指的是与先前记录的 GhostSecret 功能的关系。 我们只强调修改类别中的重大变化。

表 2. 后门命令概述

结论

Wslink 的有效负载致力于提供文件操作、执行更多代码以及获取有关底层系统的大量信息的方法，由于对网络会话的特殊兴趣，这些信息可能会在以后用于横向移动。 Wslink 加载程序侦听配置中指定的端口，可以为其他连接的客户端提供服务，甚至加载各种有效负载。

WinorDLL64 在开发环境、行为和代码中与几个 Lazarus 样本有重叠，这表明它可能是这个与朝鲜结盟的 APT 组织的庞大武器库中的一个工具。

国际石油公司

MITRE ATT&CK 技术

该表是使用 12版 ATT&CK框架。 我们不再提及加载程序的技术，仅提及有效负载。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
• Sumber: https://www.welivesecurity.com/2023/02/23/winordll64-backdoor-vast-lazarus-arsenal/