Se ha detectado una actividad maliciosa de DLL Sideloading que se basa en el escenario clásico
de Sideloading, pero añade complejidad y capas a su ejecución. La
investigación de Sophos I y II
indica que el actor o actores responsables de la amenaza les gusta tanto esta
adaptación del escenario original que utilizaron múltiples variaciones del
mismo, intercambiando repetidamente un componente concreto en el proceso para
eludir la detección en este paso de la cadena de ataque.
Puede verse que uno de los primeros reportes que hablan de la técnica, cuya
autoría es atribuida a la analista Amanda Stewart de Fireeye
[PDF], se remonta al año 2014 y es utilizada de forma genérica por el malware.
Aunque parezca una tontería, analizaremos en primer lugar el nombre desde una perspectiva ofensiva:
DLL (Dynamic Link Library) es una biblioteca de enlace dinámico. Por ahorrar
tiempo, les dejo el enlace de la
documentación oficial de Microsoft
donde se explica el concepto por si es desconocido por el lector- SideLoading, traducido literalmente como, «cargado de forma lateral» y se refiere a la forma y el orden para cargar DLL.
En resumen, este ataque abusará del orden de búsqueda de DLL que tienen un
binario, posicionando la carga maliciosa uno al lado del otro. El orden de búsqueda de DLL estándar utilizado por el sistema depende de si el modo de búsqueda segura de DLL está habilitado o no.
El modo de búsqueda segura de DLL (que está habilitado de forma predeterminada) mueve la carpeta actual del usuario para atrás en el orden de búsqueda. Para deshabilitar el modo de búsqueda de DLL segura, cree el valor de registro HKEY_LOCAL_MACHINESystemCurrentControlSetControlSession ManagerSafeDllSearchMode y configúrelo en 0. Llamar a la función SetDllDirectory deshabilita efectivamente el modo de búsqueda de DLL segura (mientras la carpeta especificada está en la ruta de búsqueda), y cambia el orden de búsqueda como se describe en esta documentación de Microsoft.
Ejemplo DLL Sideloading
Formas anteriores del ataque, ya han sido tratadas anteriormente en el sector,
principalmente en los blogs de
CTFIoT y
Zhizu.
El ataque se basa en un ataque clásico de Sideloading, consistente en
una aplicación limpia, un cargador malicioso y una carga útil cifrada, con
diversas modificaciones de estos componentes a lo largo del tiempo. Sophos ha
detectado una actividad maliciosa de DLL Sideloading que se basa en el
escenario clásico de Sideloading, pero añade complejidad y capas a su
ejecución.
En esta investigación encontraron varias variaciones en el enfoque del doble limpiador-instalador; las variaciones implicaban principalmente cambios precisamente en el programa del que se abusaba en la segunda etapa, con algunos efectos secundarios causados a su vez por esos cambios.
El actor de la amenaza más asociado a este ataque recibe diversos nombres:
«Operation Dragon Breath», «APT-Q-27» o «Golden Eye Dog», y se cree que está
especializado en los juegos de azar online y sus participantes. Las campañas
originales iban dirigidas a usuarios de Windows de habla china que
participaban en juegos de azar online, y los vectores de infección iniciales
se distribuyeron a través de Telegram. Hasta la fecha, se han identificado
objetivos en Filipinas, Japón, Taiwán, Singapur, Hong Kong y China.
El principio: vector de infección
Al principio, la investigación llevó a un sitio web (telegramos[.]org)
que ofrece, o dice ofrecer, versiones en chino de la aplicación Telegram para
Android, iOS y Windows y también de WhatApp.
Este es el sitio desde el que se cree que el usuario afectado descargó el
paquete que causó la infección. La forma en que el usuario encontró el sitio
por primera vez, ya sea a través de phishing o envenenamiento SEO o algún otro
método, está fuera del alcance de la investigación.
Se crea un acceso directo al supuesto Telegram en el escritorio. Sin embargo,
este acceso directo no ejecuta el programa Telegram, sino un comando inusual:
C:Users{redacted}AppDataRoamingTg_B518c1A0Ff8CappR.exe /s /n /u /i:appR.dat appR.dll
Aquí appR.exe es el componente de Windows regsvr32.exe, con su
nuevo nombre. Ejecutará la biblioteca appR.dll, que es otro componente
de Windows renombrado, scrobj.dll: el motor de ejecución de
scripts. A continuación, ejecutará el código Javascript almacenado en
appR.dat: cuando se ejecuta el acceso directo, se ejecuta el código
JavaScript. Para el usuario, muestra la esperada interfaz de usuario del
escritorio de Telegram, principalmente en chino.
Pero entre bastidores deja caer varios componentes de carga lateral en un
directorio. El instalador también crea un archivo de acceso directo en el
directorio de inicio del usuario. De esta forma, el malware establece la
persistencia y permite la ejecución automática tras el inicio del sistema.
Los componentes de carga lateral y el enlace de inicio solo se crean cuando se
ejecuta el enlace Telegram del escritorio. Esto podría ser un truco
anti-análisis, ya que los sandboxes de análisis dinámico no verían los
archivos Sideloader descartados.
Los comentarios están cerrados.