Se ha detectado una actividad maliciosa de DLL Sideloading que se basa en el escenario clásico de Sideloading, pero añade complejidad y capas a su ejecución. La investigación de Sophos I y II indica que el actor o actores responsables de la amenaza les gusta tanto esta adaptación del escenario original que utilizaron múltiples variaciones del mismo, intercambiando repetidamente un componente concreto en el proceso para eludir la detección en este paso de la cadena de ataque.
Puede verse que uno de los primeros reportes que hablan de la técnica, cuya autoría es atribuida a la analista Amanda Stewart de Fireeye [PDF], se remonta al año 2014 y es utilizada de forma genérica por el malware.
Aunque parezca una tontería, analizaremos en primer lugar el nombre desde una perspectiva ofensiva:
- DLL (Dynamic Link Library) es una biblioteca de enlace dinámico. Por ahorrar tiempo, les dejo el enlace de la documentación oficial de Microsoft donde se explica el concepto por si es desconocido por el lector
- SideLoading, traducido literalmente como, "cargado de forma lateral" y se refiere a la forma y el orden para cargar DLL.
En resumen, este ataque abusará del orden de búsqueda de DLL que tienen un binario, posicionando la carga maliciosa uno al lado del otro. El orden de búsqueda de DLL estándar utilizado por el sistema depende de si el modo de búsqueda segura de DLL está habilitado o no.
El modo de búsqueda segura de DLL (que está habilitado de forma predeterminada) mueve la carpeta actual del usuario para atrás en el orden de búsqueda. Para deshabilitar el modo de búsqueda de DLL segura, cree el valor de registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\SafeDllSearchMode y configúrelo en 0. Llamar a la función SetDllDirectory deshabilita efectivamente el modo de búsqueda de DLL segura (mientras la carpeta especificada está en la ruta de búsqueda), y cambia el orden de búsqueda como se describe en esta documentación de Microsoft.
Ejemplo DLL Sideloading
Formas anteriores del ataque, ya han sido tratadas anteriormente en el sector, principalmente en los blogs de CTFIoT y Zhizu.
El ataque se basa en un ataque clásico de Sideloading, consistente en una aplicación limpia, un cargador malicioso y una carga útil cifrada, con diversas modificaciones de estos componentes a lo largo del tiempo. Sophos ha detectado una actividad maliciosa de DLL Sideloading que se basa en el escenario clásico de Sideloading, pero añade complejidad y capas a su ejecución.
En esta investigación encontraron varias variaciones en el enfoque del doble limpiador-instalador; las variaciones implicaban principalmente cambios precisamente en el programa del que se abusaba en la segunda etapa, con algunos efectos secundarios causados a su vez por esos cambios.
El actor de la amenaza más asociado a este ataque recibe diversos nombres: "Operation Dragon Breath", "APT-Q-27" o "Golden Eye Dog", y se cree que está especializado en los juegos de azar online y sus participantes. Las campañas originales iban dirigidas a usuarios de Windows de habla china que participaban en juegos de azar online, y los vectores de infección iniciales se distribuyeron a través de Telegram. Hasta la fecha, se han identificado objetivos en Filipinas, Japón, Taiwán, Singapur, Hong Kong y China.
El principio: vector de infección
Al principio, la investigación llevó a un sitio web (telegramos[.]org) que ofrece, o dice ofrecer, versiones en chino de la aplicación Telegram para Android, iOS y Windows y también de WhatApp.
Este es el sitio desde el que se cree que el usuario afectado descargó el paquete que causó la infección. La forma en que el usuario encontró el sitio por primera vez, ya sea a través de phishing o envenenamiento SEO o algún otro método, está fuera del alcance de la investigación.
Se crea un acceso directo al supuesto Telegram en el escritorio. Sin embargo, este acceso directo no ejecuta el programa Telegram, sino un comando inusual:
C:\Users\{redacted}\AppData\Roaming\Tg_B518c1A0Ff8C\appR.exe /s /n /u /i:appR.dat appR.dll
Aquí appR.exe es el componente de Windows regsvr32.exe, con su nuevo nombre. Ejecutará la biblioteca appR.dll, que es otro componente de Windows renombrado, scrobj.dll: el motor de ejecución de scripts. A continuación, ejecutará el código Javascript almacenado en appR.dat: cuando se ejecuta el acceso directo, se ejecuta el código JavaScript. Para el usuario, muestra la esperada interfaz de usuario del escritorio de Telegram, principalmente en chino.
Pero entre bastidores deja caer varios componentes de carga lateral en un directorio. El instalador también crea un archivo de acceso directo en el directorio de inicio del usuario. De esta forma, el malware establece la persistencia y permite la ejecución automática tras el inicio del sistema.
Los componentes de carga lateral y el enlace de inicio solo se crean cuando se ejecuta el enlace Telegram del escritorio. Esto podría ser un truco anti-análisis, ya que los sandboxes de análisis dinámico no verían los archivos Sideloader descartados.