Client_TrafficForwarder de Lazarus al descubierto

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

El programa Client_TrafficForwarder está diseñado por el grupo Lazarus para dar acceso a la red local y también instalar utilizando el Dropper original.

El esquema de instalación es el siguiente:

Dropper -> Loader -> Payload.

Los archivos gpsvc.exe y MBLCTR.EXE (tamaño: 753664 bytes, MD5:

85d3 16590edfb4212049c4490db08c4b) son archivos ejecutables y pueden ser clasificados como un Loader. Estos archivos son instalados en el sistema objetivo utilizando Dropper, el cual es descargado utilizando Recon o Client_ RAT.

 

Esta consola puede ser ejecutada con los siguientes pasos:

Comandos                                    Descripción

dropper.exe -x[key] -I Enumera los servicios del sistema.
dropper.exe -x [key] -e [sevicename] [config] Extrae y desencripta el cargador de la configuración y se establece como servicio.
dropper.exe -x [key] -f Instala implantes agregando información sobre ellos al sistema registrado.
dropper.exe -x [key] -o [eventname] Llama OpenEventA con un nombre de un evento especial.

dropper.exe -x [key] -t Llama OpenEventA con un nombre de un evento especial, luego llama  [eventname] a Setvent API.

  • “Key” significa una clave encriptada. Un hash/encriptación MD5 (algoritmo hashing/ desencriptación) es la usada para desencriptar la configuración del archivo.
  • “Config” significa una ruta al archivo de configuración que contiene el nombre del servicio, su descripción y el cargador del módulo principal que se instalará en el sistema como un servicio.

El programa también puede leer información ejecutable de los siguientes registros claves y embeberlos en los procesos seleccionados:

HKLM\SYSTEM\CurrentControlSet\Services\<nombre del servicio>\ Security\Data2
  • HKLM\SYSTEM\CurrentControlSet\Services\<nombre del servicio>\ Security\Data3

fdsvc.exe (MD5 9914075cc687bdc352ee136ac6579707 y 60928 bytes) es un archivo ejecutable que puede ser clasificado por el cargador.

Ejemplo de un luncher Loader:

loader.exe -d «encrypted_payload.bin» -p 1540 -s

[encrypted_C&C:port] -r [encrypted_commands]

Argumentos                         Descripción

-d Nombre del archivo para desencriptar.
-p ID del proceso en el cual la carga debería estar embebida.
-r Param encriptado1.
-s Param encriptado2.

Loader es utilizado para desencriptar la carga útil. El archivo nombrado fdsvc.dll (MD5: 9cc6854bc5e217104734043c89dc4ff8, tamaño: 480768 bytes) es una carga útil la cual es Client_TrafficForwarder.

Luego del descrifrado, se convierte en un simple DLL

(MD5 25200d3fe30785f3c90a91faf8ebf1b5, tamaño: 519392 bytes) y es utilizado para crear un túnel del servidor C&C a la red específica. La carga útil provee una conexión segura sobre el protocolo especialmente creado vía un servidor proxy. (un host actual infectado).

 

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris