查看原文
其他

恶意软件利用合法的代码签名证书横行Windows 系统

Ionut Ilascu 代码卫士 2023-01-17

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士




安全研究员发现一起恶意活动依靠合法的代码签名证书将恶意代码伪装成合法的可执行文件。


研究人员将其中一种 payload 称为 Blister,它是其它恶意软件的加载器,似乎是一种新型威胁,检测率较低。Blister 的幕后黑手一直依赖于多种技术隐藏行踪,其中一种就是利用代码签名证书。


签名、封装、交付


Elastic 安全公司的研究员表示,Blister 恶意软件至少运行了三个月之久,至少始于9月15日。

威胁行动者使用的代码签名证书的有效期始于8月23日,由数字化身份提供商 Sectigo 通过俄罗斯提供商 Mail.Ru 提供的邮件地址为 Blist LLC 颁发。

使用合法证书签署恶意软件是威胁行动者多年以来的惯用伎俩。当时威胁行动者常常窃取合法企业的证书。近年来,威胁行动者利用他们攻陷或前端业务的详情请求合法证书。

Elastic 公司发布博客文章指出已经将滥用证书的情况告知 Sectigo,以便后者将其撤销。研究人员指出威胁行动者依靠多种技术使攻击不被检测到。其中一种方法使将 Blister 恶意软件嵌入合法库(如 colorui.dll)中。之后威胁而行动者通过 rundll32 命令以提升后权限执行恶意软件。由于以合法证书签名并以管理员权限部署,Blister 躲开了多种安全解决方案的检测。接着,Blister解码“被严重混淆”的资源部分引导代码。十分钟的时间里,代码仍然保持休眠状态,似乎是为了躲避沙箱分析。之后它解码提供远程访问的嵌入式payload 并使其横向移动:Cobalt Strike 和 BitRAT,过去它们曾被多个威胁行动者利用。

Blister 恶意软件通过 ProgramData 文件夹中的以及作为 rundll32.exe 的另外一个副本实现可持久性。该恶意软件也被添加到启动位置,使其能作为 explorer.exe 的子类在每次重启时启动。

研究人员发现了 Blister 加载器的签名版本和未签名版本,它们在 VirusTotal 扫描服务商的检测率都较低。

虽然这些攻击的目标尚不明朗,但通过结合有效的代码签名证书、嵌入合法库中的恶意软件和在内存中执行payload,威胁行动者提高了攻击的成功率。

研究人员已发布识别 Blister 活动的 Yara 规则并提供妥协指标,帮助组织机构防御该攻击。











推荐阅读
微软:这两个活动目录漏洞可使攻击者轻易接管 Windows 域名
点击一下,即可在 Windows 10 实现路过式远程代码执行,未修复
速打微补丁!这个越权文件读取漏洞影响 Windows OS
微软发布紧急更新,修复了多个 Windows Server 身份验证问题
谷歌警告:利用这种方法在 Windows上传播恶意软件,无法被检测到




原文链接

https://www.bleepingcomputer.com/news/security/blackmagic-fixes-critical-davinci-resolve-code-execution-flaws/


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存