محققان امنیتی کمپین مخربی را کشف کردهاند که به گواهی امضای کد معتبر برای پنهان کردن کدهای مخرب به عنوان فایلهای اجرایی قانونی متکی است.
یکی از محمولههایی که محققان Blister نامیدهاند، بهعنوان بارگیری برای بدافزارهای دیگر عمل میکند و به نظر میرسد یک تهدید جدید است که از نرخ شناسایی پایینی برخوردار است.
عامل تهدید پشت بلیستر به تکنیک های متعددی برای تحت نظر نگه داشتن حملات خود تکیه کرده است، استفاده از گواهی نامه های امضای کد تنها یکی از ترفندهای آنهاست.
امضا شده، مهر و موم شده، تحویل داده شده است
محققان امنیتی شرکت جستجوی Elastic دریافتند، هر کسی که پشت بدافزار Blister قرار دارد، حداقل از 15 سپتامبر (24 شهریور) حداقل به مدت سه ماه کمپینهایی را اجرا کرده است.
با این حال، بازیگر تهدید از یک گواهی امضای رمز استفاده کرد که از 23 آگوست(1شهریور) معتبر است. این توسط ارائهدهنده هویت دیجیتال Sectigo برای شرکتی به نام Blist LLC با یک آدرس ایمیل از یک ارائهدهنده روسی Mail.Ru صادر شد.
استفاده از گواهینامه های معتبر برای امضای بدافزار ترفندی قدیمی است که عوامل تهدید سال ها پیش آن را آموخته بودند. در آن زمان آنها گواهینامه های شرکت های قانونی را سرقت می کردند. این روزها، بازیگران تهدید با استفاده از جزئیات شرکتی که به خطر انداخته اند یا یک کسب و کار پیشرو، درخواست گواهی معتبر می کنند.
در یک پست وبلاگی در این هفته، Elastic می گوید که آنها به طور مسئولانه گواهی سوء استفاده شده را به Sectigo گزارش کرده اند تا بتوان آن را باطل کرد.
محققان میگویند که عامل تهدید به تکنیکهای متعددی برای شناسایی نشدن حمله متکی بود. یکی از روش ها جاسازی بدافزار Blister در یک کتابخانه قانونی مانند colorui.dll بود.
سپس بدافزار با امتیازات بالاتر از طریق دستور rundll32 اجرا میشود. امضا شدن با یک گواهی معتبر و استقرار با امتیازات مدیر باعث میشود تا Blister راهحلهای امنیتی را از دست بدهد.
به گفته محققان Elastic، در مرحله بعدی، Blister از کد راهاندازی بخش منبع رمزگشایی میکند که "به شدت مبهم است". به مدت ده دقیقه، کد به احتمال زیاد در تلاشی برای فرار از تجزیه و تحلیل جعبه شنی غیر فعال می ماند.
این بدافزار با یک کپی در پوشه ProgramData و دیگری با نام rundll32.exe به ماندگاری دست می یابد. همچنین به محل راهاندازی اضافه میشود، بنابراین در هر بار بوت، به عنوان فرزند explorer.exe راهاندازی میشود.
در حالی که هدف این حملات ناقل آلودگی اولیه مشخص نیست، با ترکیب گواهیهای امضای کد معتبر، بدافزارهای تعبیهشده در کتابخانههای قانونی و اجرای بارهای در حافظه، عوامل تهدید شانس خود را برای یک حمله موفقیتآمیز افزایش دادند.
های فن تک از شما دعوت می کند نظرات خود را در مورد این مقاله به اشتراک بگذارید