IOC:
AAA058858261D7C0E73FA1B8264A9A3D
AAA058858261D7C0E73FA1B8264A9A3D
1A75878DEA8F5580C25E0B9F1C734949
25674F5426C59051960F0D00F06F0B77
9DE437C0A1F9E633186F5F631D32AF8A
요약:
최근 IR 사례에서 포보스 랜섬웨어가 DLL 사이드 로딩 기술을 사용하여 실행되고 있는 것을 발견했다. 위협 행위자(TA)는 Lespeed Technology Co., Ltd의 합법적인 서명된 이진 WiseTurbo.exe를 사용하여 NlogExt.dll의 사이드 로드를 수행했다. WiseTurbo.exe는 sqlite3.dll을 가져옵니다. TA는 sqlite3.dll의 가져오기 테이블을 수정하여 단일 내보내기 함수 NlogGet을 사용하는 NlogExt.dll에 대한 항목을 포함합니다인터페이스.
따라서 초기 설치 관리자가 실행되면 모든 파일을 %TEMP%\Tech tool store\에 압축을 풀고 WiseTurbo.exe를 실행하여 sqlite3.dll을 로드합니다. 이 sqlite3.dll은 메모리에 NlogExt.dll을 로드하고 DLLMain을 실행합니다. 로드 시 NlogExt.dll, 동일한 디렉터리에 있고 셸 코드를 포함하는 파일 "CM"을 메모리로 읽습니다. 셸 코드는 결국 메모리에서 PE 파일의 디코딩으로 이어지며 실행을 엔트리 포인트로 전송한다. PE 파일은 새로운 힙 영역을 할당하고 메모리에 있는 최종 포보스 랜섬웨어의 압축을 풀고 실행한다. 자세한 분석은 아래와 같다.
분석.
MD5 : AAA058858261D7C0E73FA1B8264A9A3D(setup.exe)
Setup.exe(피해자 시스템에서 복구된 파일)는 설치 파일로, 실행 시 모든 파일을 셸 코드 파일 "CM", 수정된 sqlite3.dll, NlogExt.dll 및 Wiseturbo와 함께 %TEMP%\Tech 도구 저장소\로 압축 해제합니다.Lespeed Technology Co., Ltd.의 서명된 이진 파일인 exe와 다른 파일은 깨끗합니다.
그림 1: 설치 실행 시 삭제된 파일.집행하다
아래 이미지는 수정된 sqlite3.dll과 원본 sqlite3.dll의 차이를 보여줍니다. TA가 NlogExt.dll을 로드하도록 가져오기 섹션을 수정했습니다.
그림 2: 원본과 수정된 sqlite3.dll 사이의 테이블 차이 가져오기
모든 파일의 압축이 풀렸으면 터보를 사용하십시오.exe가 실행됩니다. 현명한 터보 이후로.exe는 sqlite3.dll에서 가져오기 때문에 압축 해제된 디렉토리에서 로드하고, 수정된 sqlite3.dll이 로드되면 메모리에 DLL NlogExt.dll을 로드하여 NlogExt.dll의 DLL 메인을 실행합니다.
그림 3: NlogExt.dll에서 확인된 로드...
포보스 랜섬웨어가 DLL 사이드 로딩을 사용하고 있는 것으로 밝혀졌다 - K7 Labs:
https://labs.k7computing.com/index.php/phobos-ransomware-found-to-be-using-dll-side-loading/
'Security > News' 카테고리의 다른 글
| 동남아시아 안드로이드 사용자를 겨냥한 TgToxic 악성코드의 자동화된 프레임워크 관련 IOC 9개 발견 (0) | 2023.02.04 |
|---|---|
| 구글 광고에서 익명으로 정보를 훔치는 사람들 - K7 Labs 관련 IOC 50개 발견 (0) | 2023.02.03 |
| Rapid7은 Redline Infosteler | Rapid7 블로그를 확산하기 위해 Microsoft OneNote를 사용하는 것을 관찰합니다 관련 IOC 9개 발견 (0) | 2023.02.03 |
| LockBit Black의 공격 체인 및 포렌식 방지 활동 파악 관련 IOC 19개 발견 (0) | 2023.02.03 |
| CMSTP를 사용한 UAC 바이패스 관련 IOC 3개 발견 (0) | 2023.02.03 |
댓글0