Los notorios delincuentes informáticos respaldados por el estado de Corea del Norte, conocidos como Lazarus Group, ahora tienen como objetivo los servidores web vulnerables de Windows Internet Information Services (IIS) para obtener acceso inicial a las redes corporativas.
Una DLL es un archivo de biblioteca que contiene funciones que pueden ser utilizadas por más de un programa al mismo tiempo. Cuando se inicia una aplicación, en general intentan cargar las DLL requeridas para su funcionamiento. Para ello, busca en carpetas específicas de Windows la DLL y, cuando la encuentra, la carga. Sin embargo, en algunos casos las aplicaciones de Windows priorizarán las DLL en la misma carpeta que el ejecutable, cargándolas antes que todas las demás.
El secuestro de DLL es cuando un actor de amenazas crea una DLL maliciosa con el mismo nombre que una legítimo y lo coloca en la ruta de búsqueda inicial de Windows, generalmente en la misma carpeta que el ejecutable. Cuando se inicie ese ejecutable, cargará la DLL de malware en lugar de la legítima y ejecutará cualquier comando malicioso dentro de ella.
La última táctica de apuntar a los servidores Microsoft IIS fue descubierta por investigadores de Corea del Sur en el Centro de Respuesta a Emergencias de Seguridad AhnLab (ASEC).
Los servidores web de Internet Information Services (IIS) son utilizados por
organizaciones de todos los tamaños para hospedar contenido web como sitios,
aplicaciones y servicios, como Outlook en la Web de Microsoft Exchange.
Es
una solución flexible que ha estado disponible desde el lanzamiento de Windows
NT, compatible con los protocolos HTTP, HTTPS, FTP, FTPS, SMTP y NNTP. Sin
embargo, si los servidores están mal administrados o desactualizados, pueden
actuar como puntos de entrada a la red para los delincuentes informáticos.
Anteriormente, Symantec informó sobre atacantes que implementaban malware en IIS para ejecutar comandos en los sistemas violados a través de solicitudes web, evadiendo la detección de las herramientas de seguridad.
Un informe separado reveló que un grupo de hacking llamado Cranfly estaba empleando una técnica desconocida de control de malware mediante el uso de registros del servidor web IIS.
Los ataques de Lazarus a IIS
Lazarus primero obtiene acceso a los servidores IIS usando vulnerabilidades conocidas o configuraciones incorrectas que permiten a los actores de amenazas crear archivos en el servidor IIS usando el proceso w3wp.exe.
Luego, los atacantes colocan el archivo 'Wordconv.exe', un archivo legítimo que forma parte de Microsoft Office, una DLL maliciosa 'msvcr100.dll' y un archivo codificado llamado 'msvcr100.dat', en la misma carpeta.
Al iniciar 'Wordconv.exe', el código malicioso en la DLL se carga para descifrar el ejecutable cifrado con Salsa20 de msvcr100.dat y ejecutarlo en la memoria, donde las herramientas antivirus no pueden detectarlo.
ASEC ha encontrado varias similitudes de código entre 'msvcr100.dll' y otro malware que observó el año pasado, 'cylvc.dll', que fue utilizado por Lazarus para deshabilitar programas anti-malware usando la técnica de "bring your own vulnerable driver".
Por lo tanto, ASEC considera que el archivo DLL recién descubierto es una nueva variante del mismo malware. En la segunda fase del ataque, Lazarus crea un segundo malware ('diagn.dll') explotando un complemento de Notepad++.
Ese segundo malware recibe una nueva carga útil, esta vez cifrado con el algoritmo RC6, la descifra con una clave propia y la ejecuta en la memoria para evitar la detección.
ASEC no pudo determinar qué hace esta carga útil en el sistema, pero hay varios signos de descarga de LSASS que apuntan a actividades de robos de credenciales.
El paso final del ataque Lazarus fue realizar reconocimiento de red y movimiento lateral a través del puerto 3389 (Escritorio Remoto) utilizando credenciales de usuario válidas, presumiblemente robadas en el paso anterior.
Dado que Lazarus depende en gran medida de la carga lateral de DLL (DLL side-loading - T1574.002) como parte de sus ataques, ASEC recomienda que las organizaciones controlen la ejecución de procesos anormales.
"En particular, dado que el grupo de amenazas utiliza principalmente la técnica de carga lateral de DLL durante sus infiltraciones iniciales, las empresas deben monitorear de manera proactiva las relaciones de ejecución de procesos anormales y tomar medidas preventivas para evitar que el grupo de amenazas lleve a cabo actividades como la exfiltración de información y el movimiento lateral.", concluye el informe de ASEC.
DLL Hijacking en Qbot
La operación de malware QBot/Qakbot ha comenzado a abusar de una falla de secuestro de DLL en el programa WordPad de Windows 10 para infectar computadoras, utilizando el programa legítimo para evadir la detección por parte del software de seguridad.
QBot es un malware de Windows que inicialmente comenzó como un troyano bancario, pero evolucionó hasta convertirse en un dropper de otros tipos de malware. Las pandillas de ransomware, incluidas Black Basta, Egregor, y Prolock,, se han asociado con la operación de malware para obtener acceso inicial a las redes corporativas para realizar ataques de extorsión.
El investigador de seguridad y miembro de Cryptolaemus, ProxyLife, dijo que una nueva campaña de phishing de QBot comenzó a abusar de una vulnerabilidad de secuestro de DLL en el ejecutable de Windows 10 WordPad, "write.exe".
Cuando una persona hace clic en un enlace que recibe por correo, se descarga un archivo ZIP con nombre aleatorio desde un host remoto. Este archivo ZIP contiene dos archivos: document.exe (una copia renombrada del ejecutable original de Windows 10 WordPad) y un archivo DLL llamado "edputil.dll" (utilizado para el secuestro de DLL).
Cuando se inicia document.exe, debería intentar cargar el archivo DLL legítimo llamado edputil.dll, que normalmente se encuentra en la carpeta C:\Windows\System32. Sin embargo, cuando el ejecutable intenta cargar edputil.dll, no lo busca en una carpeta específica y carga cualquier DLL del mismo nombre que se encuentre en la misma carpeta que el ejecutable document.exe.
Esto permite que los actores de amenazas realicen el secuestro de DLL creando una versión maliciosa de la DLL edputil.dll y almacenándola en la misma carpeta que document.exe para que se cargue en su lugar.
Una vez que se carga la DLL, el malware usa C:\Windows\system32\curl.exe para descargar una DLL camuflada como un archivo PNG desde un host remoto. Este archivo PNG (en realidad, una DLL) se ejecuta mediante rundll32.exe con el siguiente comando:
rundll32 c:\users\public\default.png,print
QBot ahora se ejecutará silenciosamente en segundo plano, robando correos electrónicos para usarlos en más ataques de phishing y eventualmente descargando otras cargas útiles, como Cobalt Strike.