Cybersecurity-Forscher haben mehr Licht auf einen bösartigen Lader geworfen, der als Server läuft und empfangene Module im Speicher ausführt. Sie haben die Struktur einer „fortschrittlichen, mehrschichtigen virtuellen Maschine“ offengelegt, die von der Malware verwendet wird, um unter dem Radar zu fliegen.
Wslink, wie der bösartige Loader genannt wird, wurde erstmals im Oktober 2021 von dem slowakischen Cybersicherheitsunternehmen ESET dokumentiert, wobei in den letzten zwei Jahren nur sehr wenige Telemetrie-Treffer in Mitteleuropa, Nordamerika und dem Nahen Osten entdeckt wurden.
Die Analyse der Malware-Samples ergab wenig bis gar keine Hinweise auf den ursprünglich genutzten Kompromissvektor und es wurden keine Ähnlichkeiten im Code, in der Funktionalität oder im Betrieb entdeckt, die darauf hindeuten, dass es sich um ein Tool eines bereits identifizierten Bedrohungsakteurs handelt.
Wslink ist mit einem Dateikomprimierungsprogramm namens NsPack ausgestattet und nutzt eine so genannte virtuelle Prozessmaschine (VM), einen Mechanismus zur plattformunabhängigen Ausführung einer Anwendung, der die zugrunde liegende Hardware oder das Betriebssystem abstrahiert, als Verschleierungsmethode, allerdings mit einem entscheidenden Unterschied.
„Virtuelle Maschinen, die als Verschleierungsmaschinen eingesetzt werden, sind nicht dafür gedacht, plattformübergreifende Anwendungen auszuführen. Sie nehmen in der Regel Maschinencode, der für eine bekannte ISA [Befehlssatzarchitektur] kompiliert oder assembliert wurde, disassemblieren ihn und übersetzen ihn in ihre eigene virtuelle ISA“, sagt Vladislav Hrčka, Malware-Analyst bei ESET.
„Die Stärke dieser Verschleierungstechnik liegt in der Tatsache, dass die ISA der VM jedem potenziellen Reverse Engineer unbekannt ist – eine gründliche Analyse der VM, die sehr zeitaufwändig sein kann, ist erforderlich, um die Bedeutung der virtuellen Anweisungen und anderer Strukturen der VM zu verstehen.
Darüber hinaus verfügt das virtualisierte Wslink-Malware-Paket über ein vielfältiges Arsenal an Taktiken, um das Reverse Engineering zu erschweren, darunter Junk-Code, die Verschlüsselung virtueller Operanden, das Zusammenführen virtueller Anweisungen und die Verwendung einer verschachtelten virtuellen Maschine.
„Obfuskationstechniken sind eine Art von Softwareschutz, der dazu dient, Code schwer verständlich zu machen und damit seine Ziele zu verschleiern. Obfuskationstechniken für virtuelle Maschinen werden häufig für illegale Zwecke wie die Verschleierung von Malware-Samples missbraucht, da sie sowohl die Analyse als auch die Entdeckung behindern“, so Hrčka.