Lazarus グループによる DLL Side-Loading 手法の利用 (mi.dll)

ASEC 分析チームは、Lazarus 攻撃グループを追跡している最中、攻撃者が初期侵入段階で次の攻撃段階の達成のために正常なアプリケーションを利用した DLL Side-Loading 攻撃手法(T1574.002)を使用している状況を捕捉した。

DLL Side-Loading 攻撃手法は、正常なアプリケーションと不正な DLL を同じフォルダーパスに保存し、アプリケーションが実行されるときに不正な DLL が同時に動作するようにする手法である。すなわち、不正な DLL の名前を正常なプログラムが参照する他のパスに位置する正常な DLL ファイル名と同一に変更して、不正な DLL が先に実行されるようにするマルウェア実行手法である。

Lazarus グループが悪用した正常なプロセスのリストは以下の通りである。wsmprovhost.exe、dfrgui.exe はどちらも Microsoft の正常なファイルである。

  • wsmprovhost.exe (Host process for WinRM plug-ins)
  • dfrgui.exe (Microsoft Drive Optimizer)

当社 ASD(AhnLab Smart Defense)インフラを通して確認した結果、攻撃者は古いバージョンの INITECH プロセス(inisafecrosswebexsvc.exe)を通じて初期侵入に使用するバックドア型マルウェア(scskapplink.dll)を配布していた。

[図1] 初期侵入段階のログ

その後、実行されたバックドア型マルウェアは wsmprovhost.exe を生成し DLL Side-Loading により追加のペイロードを実行したものと推定される。DLL Side-Loading 手法を使用したと推定される根拠は、被害を受けた PC において wsmprovhost.exe が生成されたフォルダーパスに「mi.dll」という不正な DLL が追加で発見されたためである。以下は、wsmprovhost.exe と同じパスに存在していた mi.dll のファイルパス情報である。

  • C:\ProgramData\Microsoft\IdentityCRL\mi.dll
  • C:\ProgramData\Microsoft\IdentityCRL\wsmprovhost.exe
  • C:\ProgramData\USOShared\mi.dll
  • C:\ProgramData\USOShared\wsmprovhost.exe
  • C:\ProgramData\midassoft\mi.dll
  • C:\ProgramData\midassoft\wsmprovhost.exe
[図2] mi.dll ファイルパス情報 (ASD インフラ)

mi.dll は以下の[図3]のように wsmprovhost.exe が参照する DLL である。したがって、wsmprovhost.exe を実行すると、そのプロセスメモリには mi.dll がロードされる。

[図3] wsmprovhost.exe の参照 DLL (mi.dll)

Microsoft の正常なファイルである mi.dll は「c:\windows\system32」パスに存在するが、今回の攻撃に使用された mi.dll は Windows システムパスではなく、他の特定のパスに wsmprovhost.exe と共に確認されており、攻撃者は github オープンソースである BugTrap プロジェクトのソースコードにマルウェアを含ませて mi.dll というファイル名で拡散させた。

[図4] mi.dll のモジュール情報 (BugTrap オープンソースを悪用)

wsmprovhost.exe のプロセスメモリにおいて実行される不正な mi.dll は内部的に AES-128 アルゴリズムにより暗号化された追加のバイナリを含んでおり、実行の時点で引数として伝達された復号化キーにより当該バイナリを復号化したあと、メモリ上でさらなるマルウェアを実行する。

Lazarus グループは wsmprovhost.exe だけでなく、dfrgui.exe のような他の Windows の正常なプログラムによっても不正なコードを実行したことが確認されている。このように、正常なプロセスメモリ領域で実行される DLL を通して不正な振る舞いを実行するのは、セキュリティ製品のビヘイビア検知を回避するためのものと推定される。

最近、Lazarus グループは攻撃目標の達成のために、セキュリティ製品の無力化のためのルートキットの使用だけでなく、今回のレポートで紹介した正常なアプリケーションを通じて不正な振る舞いを行う等、様々な攻撃手法を使用している。AhnLab では当該グループの攻撃手法について綿密に注視および対応しており、現在はこのタイプの攻撃に対して以下のように検知している。

[IOC]
(ファイル名、MD5、検知名)
– SCSKAppLink.dll (0cc73994988e8dce2a2eeab7bd410fad) Trojan/Win.Lazardoor.C5266363 (2022.09.30.03)
– mi.dll (54b0454163b25a38368e518e1687de5b) – Trojan/Win.LazarLoader.C5226517 (2022.08.22.02)
– dfgui.exe (9caebeda61018e86a29c291225f0319f) – Microsoft の正常なファイル
– wsmprovhost.exe (ff46decb93c6d676a37e87de57bae196) – Microsoft の正常なファイル

[ビヘイビア検知]
– InitialAccess/MDP.Event.M4242 (2022.09.21.00)

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

Tagged as:

0 0 votes
評価する
guest

0 コメント
Inline Feedbacks
View all comments