Odborníci z americké firmy Malwarebytes, která se specializuje na ochranu domácích počítačů, chytrých telefonů a firem před malwarem a dalšími hrozbami, publikovali informace o dalším povedeném kousku severokorejské hackerské skupiny Lazarus.
Nový způsob aktivace malwaru byl odhalen při analýze lednové phishingové kampaně vydávající se za firmu Lockheed Martin. Poté, co oběti otevřou škodlivé přílohy a povolí spuštění makra, dojde k vypuštění souborů WindowsUpdateConf.lnk a wuaueng.dll do skryté složky v rámci Windows/System32.
Zneužití klienta Windows Update
V další fázi je soubor WindowsUpdateConf.lnk použit ke spuštění klientu WSUS/Windows Update (wuauclt.exe), který provede příkaz, jenž načte škodlivou dynamickou knihovnu wuaueng.dll. „Jedná se o zajímavou techniku, kterou Lazarus používá ke spuštění škodlivé knihovny DLL pomocí klienta Windows Update, aby obešel mechanismy detekce zabezpečení,“ tvrdí experti na bezpečnost.
Nejde přitom o žádnou žhavou novinku – již v říjnu roku 2020 objevil tuto taktiku David Middlehurst, který zjistil, že útočníci mohou použít klienta Windows Update ke spuštění škodlivého kódu v systémech Windows 10. Zaznamenal také vzorek, který tuto možnost prakticky využíval.
Mechanismus útoku
Zneužití klientu Windows Update lze dosáhnout načtením libovolné speciálně vytvořené knihovny DLL pomocí parametrů příkazu. Lazarus konkrétně použil k načtení svého škodlivého souboru sekvenci wuauclt.exe /UpdateDeploymentProvider wuaueng.dll /RunHandlerComServer.
Tento typ strategie umožňuje útočníkům obejít bezpečnostní software, kontrolu aplikací a ochranu v podobě ověřování digitálních certifikátů. V tomto případě je spouštěn škodlivý kód z dynamické knihovny, načtené pomocí binárního souboru podepsaného Microsoftem, což je z pohledu ochranných mechanismů v pořádku.