يعمل برنامج ضار جديد، أطلق عليه فريق Elastic Security الذي حدده فريق Elastic Security الذي حدده، على الاستفادة من شهادات توقيع التعليمات البرمجية الصالحة في أنظمة Windows، لتجنب اكتشافها بواسطة برامج مكافحة الفيروسات. تمت تسمية البرنامج الضار باسم إحدى حمولاته، Blister، التي تنشر أيضًا حمولات المرحلة الثانية.

كانت الجهات الفاعلة في مجال التهديد التي تنظم حملات Blister نشطة منذ 15 سبتمبر 2021، وتستخدم شهادات توقيع الرموز التي تم التحقق من صحتها في 23 أغسطس 2021. تم إصدار هذه الشهادات من قبل Sectigo إلى عنوان البريد الإلكتروني mail.ru الخاص بـ Blist LLC. من الجدير بالذكر أن mail.ru هو مزود خدمة بريد إلكتروني روسي يستخدم على نطاق واسع.

تخفي البرامج الضارة المكونات الضارة كملفات أصلية قابلة للتنفيذ، مما يؤدي إلى انخفاض معدل اكتشافها. بصرف النظر عن استخدام شهادات توقيع الرموز، تستفيد الجهات الفاعلة في مجال التهديد أيضًا من تقنيات أخرى، مثل ربط Blister بمكتبة شرعية على النظام المصاب، للبقاء بعيدًا عن الأنظار.

طريقة عمل حملة بليستر

من المعروف أن الجهات الفاعلة في مجال التهديد تستخدم توقيع التعليمات البرمجية للتحايل على عمليات التحقق الأمنية الثابتة الأساسية لاختراق أنظمة الضحايا. لا يختلف برنامج Blister الضار من حيث أنه يستخدم شهادة صادرة عن Sectigo لجعل برنامج Loader الضار يبدو أصليًا لمنتجات الأمان. ثم تقوم بعد ذلك بنشر حصان طروادة للوصول البعيد (RAT) على النظام المستهدف للحصول على وصول غير مصرح به.

أ .dll يتم استخدام الملف كحمولة المرحلة الثانية لتنفيذ منارة RAT/CobaltStrike المشفرة. منذ .dll لا يحتوي الملف على أي آثار ضارة، فقد تم اكتشاف عدد قليل جدًا من عمليات الكشف على VirusTotal. ومع ذلك، يستخدم اللودر Rundll32.exe لتنفيذ قم بتشغيل ColorCPL تم تصدير الوظيفة بواسطة البرامج الضارة .dll ملف.

الاستفادة من شهادات توقيع التعليمات البرمجية لتجنب الاكتشاف

• تحتوي الصورة أدناه على تفاصيل الشهادة لكيان يسمى «Blist LLC». من الشائع أن يقوم مجرمو الإنترنت إما بسرقة شهادات توقيع التعليمات البرمجية من الأهداف المخترقة، أو استخدام شركة واجهة للحصول على الشهادة، لتوقيع البرامج الضارة معها.

• قامت Sectigo منذ ذلك الحين بإلغاء الشهادة الصادرة للثنائي.

المرحلة الأولى من العدوى

نظرة عامة على اللودر

• يكتب المُحمل رسالة ضارة .dll ملف في دليل تم إنشاؤه داخل مجلد Temp الخاص بالمستخدم.
• في إحدى العينات التي تم تحليلها، أنشأت البرامج الضارة مجلدًا باسم «goalgames» وداخله تم تفريغ أداة التحميل holorui.dll.
• ال .dll يحتوي على رمز نشر RAT للحصول على وصول غير مصرح به إلى النظام المصاب.

عمل اللودر خطوة بخطوة

• يتم استخدام واجهة برمجة تطبيقات Win32 CreateDirectoryW لإنشاء مجلد يسمى «goalgames» في المسار: C:\Users\<user>\ AppData\ دليل محلي\ مؤقت. كما هو موضح أدناه.

• قبل تفريغ ملف dll، يقوم المُحمل بتعيين دليل العمل إلى C:\Users\<user>\ بيانات التطبيق\ المحلية\ المؤقتة\ ألعاب الهدف عبر واجهة برمجة تطبيقات Win32 تعيين الدليل الحالي W.

• بعد إعداد دليل العمل، تقوم البرامج الضارة بحل اسم الملف لـ .dll ملف إلى holorui.dll ويخزنها في سجل RCX، لتمريرها لاحقًا إلى Win32 API إنشاء ملف جديد.

• الملف C:\Users\<user>\ بيانات التطبيق\ محلي\ مؤقت\ ألعاب الهدف\ holorui.dll تم إنشاؤه باستخدام إنشاء ملف جديد API.

• بمجرد إنشاء الملف، تبدأ البرامج الضارة في كتابة المحتوى إلى الملف عن طريق نقل وحدات البايت بشكل متكرر من .dll الحمولة في اللودر. واجهة برمجة تطبيقات Win32 اكتب ملف يستخدم لكتابة المحتويات إلى holorui.dll.

• الخبيثة .dll مضمن في مقطع البيانات الذي تمت تهيئته من ملف PE القابل للتنفيذ الخاص بالمحمل ويتم نقل وحدات البايت إليه C:\Users\<user>\ بيانات التطبيق\ المحلي\ درجة الحرارة\ ألعاب الهدف\ holorui.dll.

• عند إغلاق المقبض إلى holorui.dll الملف، المكتوب على القرص في دليل Temp، تنتهي البرامج الضارة من تسليم حمولة المرحلة الثانية. ثم يتم إغلاق مقابض الملفات بواسطة البرامج الضارة.

• يمكن تأكيد التسليم الناجح لـ .dll الضار من خلال تحليل تفاعل البرامج الضارة على النظام.

• استنادًا إلى تحليل عينات اللودر المتعددة الموقعة، قمنا بتعداد أسماء الدليل والحمولة المميزة التالية المستخدمة في عينات مختلفة من نفس الحملة:
  • C:\Users\<user>\ بيانات التطبيق\ محلي\ مؤقت\ ألعاب الهدف\ holorui.dll
  • C:\Users\<user>\ بيانات التطبيق\ المحلي\ درجة الحرارة\ الإطار\ axsssig.dll
  • C:\Users\<user>\ بيانات التطبيق\ المحلي\ درجة الحرارة\ البرامج\ holorui.dll
  • C:\Users\<user>\ بيانات التطبيق\ المحلي\ درجة الحرارة\ إطارات girts\ Pasade.dll

ملاحظة: المحتوى الموجود داخل .dll هو نفسه على الرغم من وجود أسماء مختلفة

المرحلة الثانية من العدوى

• في المرحلة الثانية من الإصابة، يقوم المحمل بإنشاء سطر أوامر لتنفيذ الوظيفة تم تصدير لون التشغيل (CPL) من .dll، بواسطة Rundll32.exe على النظام المصاب.

• يتم إنشاء عملية جديدة باستخدام سطر الأوامر أعلاه لإنتاج الجولة 32 معالجة عبر إنشاء عملية W واجهة برمجة تطبيقات Win32.

• المولوّد حديثًا Rundll32.exe يتم إدراج العملية في قائمة العمليات على الجهاز المصاب.

• يتم تنفيذ الحمولة النهائية من قبل Rundll32.exe معالجة.

في الجزء 2 من هذه المقالة، سنغطي العمل الداخلي لحمولة dll بالتفصيل.

مؤشرات التسوية (IOCs)

فايلهاش - MD5

ملف هاش- SHA1

ملف حاش-شا256

النطاقات

• ظلال الخصومات direct.com
• دومين كليبرشيبintl.com
• النطاق bimelectrical.com

بروتوكول IPv4

• 93.115.18.248
• 188.68.221.203
• 185.170213.186

رافعات موقعة

• ed6910 fd51d6373065a2f1 d3580 ad645f443 bf0 bdc398a77185324b0284db8
• cb949ebe87c55c0ba6cf0525161e2e6670c1ae186ab83ce46047446 e9753a926
• 7b9091c41525 f1721b12def601117737 e990-ce178 eecf81dcfb25ccb5a8f
• 84 أ 67 إف 191 أ 93 إي إي 827 سي 4829498 دي 2 سي 1 دي 27 دي 9 دي 47 دي 136 دي سي 6652 أ 5414 داب 440 بي 74
• cc31c124fc39025f5c3a410ed4108a56b7c6e90b5819167a06800d02ef1f028
• 9472d4cb393256 a62a466 f6601014e5cb04a71 f115499 cb320 dc615245 c7594d4
• 4 قدم 551 قبل الميلاد 5e07879 ec84a7f1 CEA 1036cfd0a3b03151403542 كابينة 6bd8541f841 f8e5
• 1a10a07413115c254c7a5c4f63ff525e64adf8b60acef946b7656b7a2b3d
• 9bcc1862e3e5a6c89524 f2d76144 d121 d0ee95b1b8b5dffcaa23025318a60
• 8a414a40419e32282 d33 af3273 ff73a596a7ac8738e9 cdca6e6e6e6e6e6e6e7db0e41c1a7658
• 923b2f90749 da76b997e1c7870ae3402 aba875fdbdd64f79cbba2f928884129
• إد 241 ج 92 ج 9 ج 969 أ 160 دا 2 ج 4 ج 0ب 006581 فا 54 ف 9615646 د 46467 د 24 قدم 5526ج 7 أ
• 294 × 710 × 4 × 4 × 4 × 37 × 14 × 83 × 6 × 7 × 7 × 7 × 72 × 46 أ ف 61 × 02 ب 65 43 دي 5 د 59 د ج 97 ب 60

مكتبة متصلة ديناميكيا

• BE7E259D5992180 الدفاع 3F4F3AB1A5DECC6A394D60C7170550B3D222 FC5F19