开源情报|Lazarus Group 使用 DLL 侧载技术 (mi.dll)
2022-10-13 15:28:56 Author: Ots安全(查看原文) 阅读量:24 收藏

在追踪 Lazarus 攻击组时,ASEC 分析团队发现,攻击者使用 DLL Side-Loading 攻击技术(T1574.002),在初始入侵阶段滥用合法应用程序,以实现其攻击过程的下一阶段。

https://attack.mitre.org/techniques/T1574/002/

DLL Side-Loading 攻击技术将合法应用程序和恶意 DLL 保存在同一文件夹路径中,以使恶意 DLL 在应用程序运行时也被执行。换句话说,它是一种恶意软件执行技术,允许首先执行恶意 DLL,方法是将其名称更改为位于合法程序所引用的不同路径中的正常 DLL 的文件名。

Lazarus 集团滥用的合法进程列表如下。wsmprovhost.exe 和 dfrgui.exe 都是普通的 MS 文件。

    wsmprovhost.exeWinRM 插件的宿主进程)dfrgui.exe(微软驱动优化器)

根据 AhnLab 的 ASD(AhnLab 智能防御)基础设施,攻击者使用了旧版本的 Initech 进程 (inisafecrosswebexsvc.exe),他们通过该进程分发了用于初始入侵的后门恶意软件 (scskapplink.dll)。

图 1. 初始妥协阶段日志

之后,执行的后门恶意软件很可能会创建 wsmprovhost.exe 并执行额外的 DLL Side-Loading 负载。怀疑使用 DLL Side-Loading 技术的理由在于,在受感染的 PC 中创建 wsmprovhost.exe 的文件夹路径中发现了一个名为“mi.dll”的额外恶意 DLL。以下是与wsmprovhost.exe同路径的mi.dll的文件路径信息。

C:\ProgramData\Microsoft\IdentityCRL\mi.dllC:\ProgramData\Microsoft\IdentityCRL\wsmprovhost.exeC:\ProgramData\USOShared\mi.dllC:\ProgramData\USOShared\wsmprovhost.exeC:\ProgramData\midassoft\mi.dllC:\ProgramData\midassoft\wsmprovhost.exe

图 2. mi.dll 文件路径信息(ASD 下)

mi.dll 是 wsmprovhost.exe 引用的 DLL(参见图 3)。因此,当 wsmprovhost.exe 运行时,mi.dll 被加载到相应的进程内存中。

图 3. wsmprovhost.exe (mi.dll) 引用的 DLL

mi.dll 是一个普通的 MS 文件,存在于路径“c:\windows\system32”中,但这次攻击中使用的 mi.dll 不是在 Windows 系统路径中,而是在 wsmprovhost.exe 旁边的另一个路径中。攻击者将恶意软件包含在 BugTrap 项目源代码(github 上的一个开源代码)中,以“mi.dll”的名义分发它。

图 4. mi.dll 的模块信息(滥用开源 BugTrap)

在 wsmprovhost.exe 的进程内存中执行的恶意 mi.dll 包含一个额外的内部使用 AES-128 算法加密的二进制文件,并且在执行的那一刻,它使用通过参数传输的解密密钥对之前的二进制文件进行解密在内存中运行额外的恶意软件。

还发现 Lazarus 组织不仅通过 wsmprovhost.exe 执行恶意软件,而且还通过其他正常的 Windows 程序(例如 dfrgui.exe)执行恶意软件。使用运行在正常进程内存区域的DLL进行恶意行为被认为是企图绕过安全软件的行为检测。

最近,Lazarus 集团一直在使用各种攻击方法,不仅使用 rootkit 禁用安全软件,还使用本报告中所示的正常应用软件进行恶意行为,以实现其攻击目标。AhnLab 正在密切关注和响应该组织的攻击方法,并使用以下别名检测当前的攻击类型。

[IOC]

[Filename, MD5, Detection Name)– SCSKAppLink.dll (0cc73994988e8dce2a2eeab7bd410fad) Trojan/Win.Lazardoor.C5266363 (2022.09.30.03)– mi.dll (54b0454163b25a38368e518e1687de5b) – Trojan/Win.LazarLoader.C5226517 (2022.08.22.02)– dfgui.exe (9caebeda61018e86a29c291225f0319f) – 普通 MS 文件– wsmprovhost.exe (ff46decb93c6d676a37e87de57bae196) – 普通 MS 文件

[行为检测]

– InitialAccess/MDP.Event.M4242 (2022.09.21.00)

文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247495741&idx=3&sn=a1269d331f741405107af45720464944&chksm=9badb976acda30605eb5865766ee4efec7b3736aaf6c179be8dff0107b3b1052a203efe579cc#rd
如有侵权请联系:admin#unsafe.sh