Поредна заплаха за Windows компютрите бе разкрита от спецове по сигурността
(снимка: CC0 Public Domain)
Изследователи по сигурността разкриха атака срещу Windows компютри, която разчита на валиден сертификат за подписване на код, за да прикрие злонамерения софтуер като легитимни изпълними файлове.
Един от пейлоуд файловете, наречен Blister, действа като инструмент за зареждане на друг вредоносен софтуер и изглежда е нова заплаха, която засега се радва на нисък процент на откриване. Хората зад Blister разчитат на множество техники, а използването на сертификат за подписване на код е само един от триковете.
Злонамерени атаки с Blister се провеждат най-малко от три месеца насам – поне от 15 септември, установиха изследователи по сигурността от компанията за търсене Elastic, на които се позовава публикация в Bleeping Computer.
Заплахата обаче използва сертификат за подписване на код, който е валиден от 23 август. Той е издаден от доставчика на цифрова идентичност Sectigo за компания, наречена Blist LLC с имейл адрес от руския доставчик Mail.Ru.
Използването на валидни сертификати за подписване на злонамерен софтуер е стар трик, който атакуващите използват от години. Тогава те крадяха сертификати от легитимни компании. Сега изискват валиден сертификат, като използват данни на фирма, която са компрометирали, или на фалшив бизнес.
В блог публикация от тази седмица Elastic съобщи, че е докладвала компрометирания сертификат на Sectigo, за да бъде отменен. Изследователите казват, че атакуващите са разчитали на множество техники, за да останат неразкрити. Един от методите е вграждане на злонамерен софтуер Blister в легитимна библиотека (напр. colorui.dll).
След това злонамереният софтуер се изпълнява с повишени привилегии чрез команда на Rundll32. Подписването с валиден сертификат и внедряването с администраторски права позволява на Blister да преодолее решенията за сигурност.
На следваща стъпка Blister декодира от ресурсната секция код за зареждане, който е „силно замъглен”, поясняват изследователите от Elastic. В продължение на десет минути кодът остава неактивен, вероятно в опит да избегне sandbox анализа.
След това се декриптира вграден пейлоуд, който осигурява отдалечен достъп и активиране на Cobalt Strike и BitRAT – и двата инструмента са били използвани от множество заплахи в миналото.
Злонамереният софтуер постига устойчивост с копие в папката ProgramData и друго копие, което се представя като rundll32.exe. Той се добавя и към стартиращите програми и така се активира при всяко зареждане като „дете” на explorer.exe.
Изследователите на Elastic са открили подписани и неподписани версии на Blister Loader , като и двете се радват на нисък процент на откриване от антивирусите в услугата за сканиране VirusTotal.
Въпреки че целта на тези заплахи остава неясна, чрез комбиниране на валидни сертификати за подписване на код, злонамерен софтуер, вграден в легитимни библиотеки, и изпълнение на пейлоуд в паметта, нападателите увеличават шансовете си за успешна атака.
Elastic е създала Yara правило за идентифициране на Blister активност и предоставя индикатори за компрометиране, за да помогне на организациите да се защитават срещу новата заплаха.
Хахаха които ползват бъгавите прозорци да му мислят аз съм си със Linux и ми е много добре нямам излишни боклуци и проблеми 😉