ما وراء المراقبة: الحماية التنبؤية للمخاطر الرقمية باستخدام CloudSek
قم بحماية مؤسستك من التهديدات الخارجية مثل تسرب البيانات وتهديدات العلامة التجارية والتهديدات الناشئة عن الويب المظلم والمزيد. حدد موعدًا لعرض تجريبي اليوم!
يعمل برنامج ضار جديد، أطلق عليه فريق Elastic Security الذي حدده فريق Elastic Security الذي حدده، على الاستفادة من شهادات توقيع التعليمات البرمجية الصالحة في أنظمة Windows، لتجنب اكتشافها بواسطة برامج مكافحة الفيروسات. تمت تسمية البرنامج الضار باسم إحدى حمولاته، Blister، التي تنشر أيضًا حمولات المرحلة الثانية.
كانت الجهات الفاعلة في مجال التهديد التي تنظم حملات Blister نشطة منذ 15 سبتمبر 2021، وتستخدم شهادات توقيع الرموز التي تم التحقق من صحتها في 23 أغسطس 2021. تم إصدار هذه الشهادات من قبل Sectigo إلى عنوان البريد الإلكتروني mail.ru الخاص بـ Blist LLC. من الجدير بالذكر أن mail.ru هو مزود خدمة بريد إلكتروني روسي يستخدم على نطاق واسع.
تخفي البرامج الضارة المكونات الضارة كملفات أصلية قابلة للتنفيذ، مما يؤدي إلى انخفاض معدل اكتشافها. بصرف النظر عن استخدام شهادات توقيع الرموز، تستفيد الجهات الفاعلة في مجال التهديد أيضًا من تقنيات أخرى، مثل ربط Blister بمكتبة شرعية على النظام المصاب، للبقاء بعيدًا عن الأنظار.
طريقة عمل حملة بليستر
من المعروف أن الجهات الفاعلة في مجال التهديد تستخدم توقيع التعليمات البرمجية للتحايل على عمليات التحقق الأمنية الثابتة الأساسية لاختراق أنظمة الضحايا. لا يختلف برنامج Blister الضار من حيث أنه يستخدم شهادة صادرة عن Sectigo لجعل برنامج Loader الضار يبدو أصليًا لمنتجات الأمان. ثم تقوم بعد ذلك بنشر حصان طروادة للوصول البعيد (RAT) على النظام المستهدف للحصول على وصول غير مصرح به.
أ .dll يتم استخدام الملف كحمولة المرحلة الثانية لتنفيذ منارة RAT/CobaltStrike المشفرة. منذ .dll لا يحتوي الملف على أي آثار ضارة، فقد تم اكتشاف عدد قليل جدًا من عمليات الكشف على VirusTotal. ومع ذلك، يستخدم اللودر Rundll32.exe لتنفيذ قم بتشغيل ColorCPL تم تصدير الوظيفة بواسطة البرامج الضارة .dll ملف.
نظرة عامة على حملة Blister للبرامج الضارة
الاستفادة من شهادات توقيع التعليمات البرمجية لتجنب الاكتشاف
تحتوي الصورة أدناه على تفاصيل الشهادة لكيان يسمى «Blist LLC». من الشائع أن يقوم مجرمو الإنترنت إما بسرقة شهادات توقيع التعليمات البرمجية من الأهداف المخترقة، أو استخدام شركة واجهة للحصول على الشهادة، لتوقيع البرامج الضارة معها.
شهادة صادرة لشركة Blist LLC
قامت Sectigo منذ ذلك الحين بإلغاء الشهادة الصادرة للثنائي.
شهادة صادرة عن القسم
المرحلة الأولى من العدوى
نظرة عامة على اللودر
يكتب المُحمل رسالة ضارة .dll ملف في دليل تم إنشاؤه داخل مجلد Temp الخاص بالمستخدم.
في إحدى العينات التي تم تحليلها، أنشأت البرامج الضارة مجلدًا باسم «goalgames» وداخله تم تفريغ أداة التحميل holorui.dll.
ال .dll يحتوي على رمز نشر RAT للحصول على وصول غير مصرح به إلى النظام المصاب.
يقوم المُحمل بكتابة ملف.dll في مجلد Temp الخاص بالمستخدم
عمل اللودر خطوة بخطوة
يتم استخدام واجهة برمجة تطبيقات Win32 CreateDirectoryW لإنشاء مجلد يسمى «goalgames» في المسار: C:\Users\<user>\ AppData\ دليل محلي\ مؤقت. كما هو موضح أدناه.
استخدام واجهة برمجة تطبيقات Win32 CreateDirectoryW لإنشاء مجلد في مجلد Temp الخاص بالمستخدم
قبل تفريغ ملف dll، يقوم المُحمل بتعيين دليل العمل إلى C:\Users\<user>\ بيانات التطبيق\ المحلية\ المؤقتة\ ألعاب الهدف عبر واجهة برمجة تطبيقات Win32 تعيين الدليل الحالي W.
باستخدام واجهة برمجة تطبيقات Win32 setCurrentDirectoryW لتعيين دليل العمل
بعد إعداد دليل العمل، تقوم البرامج الضارة بحل اسم الملف لـ .dll ملف إلى holorui.dll ويخزنها في سجل RCX، لتمريرها لاحقًا إلى Win32 API إنشاء ملف جديد.
تقوم البرامج الضارة بحل اسم الملف الخاص بملف.dll إلى holorui.dll
الملف C:\Users\<user>\ بيانات التطبيق\ محلي\ مؤقت\ ألعاب الهدف\ holorui.dll تم إنشاؤه باستخدام إنشاء ملف جديد API.
holorui.dll تم إنشاؤها باستخدام إنشاء ملف جديد API
بمجرد إنشاء الملف، تبدأ البرامج الضارة في كتابة المحتوى إلى الملف عن طريق نقل وحدات البايت بشكل متكرر من .dll الحمولة في اللودر. واجهة برمجة تطبيقات Win32 اكتب ملف يستخدم لكتابة المحتويات إلى holorui.dll.
ملف كتابة واجهة برمجة تطبيقات Win32 يستخدم لكتابة المحتويات إلى holorui.dll
الخبيثة .dll مضمن في مقطع البيانات الذي تمت تهيئته من ملف PE القابل للتنفيذ الخاص بالمحمل ويتم نقل وحدات البايت إليه C:\Users\<user>\ بيانات التطبيق\ المحلي\ درجة الحرارة\ ألعاب الهدف\ holorui.dll.
رأس MZ للملف المضمن
عند إغلاق المقبض إلى holorui.dll الملف، المكتوب على القرص في دليل Temp، تنتهي البرامج الضارة من تسليم حمولة المرحلة الثانية. ثم يتم إغلاق مقابض الملفات بواسطة البرامج الضارة.
تم إغلاق مقابض الملفات بواسطة البرامج الضارة
يمكن تأكيد التسليم الناجح لـ .dll الضار من خلال تحليل تفاعل البرامج الضارة على النظام.
تسليم ناجح لملف.dll الضار
استنادًا إلى تحليل عينات اللودر المتعددة الموقعة، قمنا بتعداد أسماء الدليل والحمولة المميزة التالية المستخدمة في عينات مختلفة من نفس الحملة:
C:\Users\<user>\ بيانات التطبيق\ محلي\ مؤقت\ ألعاب الهدف\ holorui.dll
C:\Users\<user>\ بيانات التطبيق\ المحلي\ درجة الحرارة\ الإطار\ axsssig.dll
C:\Users\<user>\ بيانات التطبيق\ المحلي\ درجة الحرارة\ البرامج\ holorui.dll
C:\Users\<user>\ بيانات التطبيق\ المحلي\ درجة الحرارة\ إطارات girts\ Pasade.dll
ملاحظة: المحتوى الموجود داخل .dll هو نفسه على الرغم من وجود أسماء مختلفة
المرحلة الثانية من العدوى
في المرحلة الثانية من الإصابة، يقوم المحمل بإنشاء سطر أوامر لتنفيذ الوظيفة تم تصدير لون التشغيل (CPL) من .dll، بواسطة Rundll32.exe على النظام المصاب.
سطر الأوامر لتنفيذ وظيفة LaunchColorCpl
يتم إنشاء عملية جديدة باستخدام سطر الأوامر أعلاه لإنتاج الجولة 32 معالجة عبر إنشاء عملية W واجهة برمجة تطبيقات Win32.
وضع البيض الجولة 32 معالجة عبر إنشاء عملية W واجهة برمجة تطبيقات Win32
المولوّد حديثًا Rundll32.exe يتم إدراج العملية في قائمة العمليات على الجهاز المصاب.
عملية Rundll32.exe التي تم إنتاجها حديثًاتأكيد سطر الأوامر للعملية التي تم إنشاؤها حديثًا
يتم تنفيذ الحمولة النهائية من قبل Rundll32.exe معالجة.
أنشطة الشبكة بين المضيف المصاب والمهاجم C2
في الجزء 2 من هذه المقالة، سنغطي العمل الداخلي لحمولة dll بالتفصيل.
اكتشف فريق TRIAD التابع لـ CloudSek برنامجًا ضارًا آخر مفتوح المصدر يعمل بنظام Android يسمى DogRat (Remote Access Trojan)، يستهدف قاعدة عملاء كبيرة عبر صناعات متعددة، وخاصة الخدمات المصرفية والترفيهية. على الرغم من أن غالبية هذه الحملة استهدفت المستخدمين في الهند، إلا أنها تهدف إلى أن يكون لها نطاق عالمي.
مدونة مفصلة حول تحليل الاتجاه العالمي للبرامج الضارة: استغلال وظيفة OAuth2 غير الموثقة لإعادة إنشاء ملفات تعريف الارتباط الخاصة بخدمة Google بغض النظر عن عنوان IP أو إعادة تعيين كلمة المرور.
Get the latest industry news, threats and resources.
يعمل برنامج ضار جديد، أطلق عليه فريق Elastic Security الذي حدده فريق Elastic Security الذي حدده، على الاستفادة من شهادات توقيع التعليمات البرمجية الصالحة في أنظمة Windows، لتجنب اكتشافها بواسطة برامج مكافحة الفيروسات. تمت تسمية البرنامج الضار باسم إحدى حمولاته، Blister، التي تنشر أيضًا حمولات المرحلة الثانية.
كانت الجهات الفاعلة في مجال التهديد التي تنظم حملات Blister نشطة منذ 15 سبتمبر 2021، وتستخدم شهادات توقيع الرموز التي تم التحقق من صحتها في 23 أغسطس 2021. تم إصدار هذه الشهادات من قبل Sectigo إلى عنوان البريد الإلكتروني mail.ru الخاص بـ Blist LLC. من الجدير بالذكر أن mail.ru هو مزود خدمة بريد إلكتروني روسي يستخدم على نطاق واسع.
تخفي البرامج الضارة المكونات الضارة كملفات أصلية قابلة للتنفيذ، مما يؤدي إلى انخفاض معدل اكتشافها. بصرف النظر عن استخدام شهادات توقيع الرموز، تستفيد الجهات الفاعلة في مجال التهديد أيضًا من تقنيات أخرى، مثل ربط Blister بمكتبة شرعية على النظام المصاب، للبقاء بعيدًا عن الأنظار.
طريقة عمل حملة بليستر
من المعروف أن الجهات الفاعلة في مجال التهديد تستخدم توقيع التعليمات البرمجية للتحايل على عمليات التحقق الأمنية الثابتة الأساسية لاختراق أنظمة الضحايا. لا يختلف برنامج Blister الضار من حيث أنه يستخدم شهادة صادرة عن Sectigo لجعل برنامج Loader الضار يبدو أصليًا لمنتجات الأمان. ثم تقوم بعد ذلك بنشر حصان طروادة للوصول البعيد (RAT) على النظام المستهدف للحصول على وصول غير مصرح به.
أ .dll يتم استخدام الملف كحمولة المرحلة الثانية لتنفيذ منارة RAT/CobaltStrike المشفرة. منذ .dll لا يحتوي الملف على أي آثار ضارة، فقد تم اكتشاف عدد قليل جدًا من عمليات الكشف على VirusTotal. ومع ذلك، يستخدم اللودر Rundll32.exe لتنفيذ قم بتشغيل ColorCPL تم تصدير الوظيفة بواسطة البرامج الضارة .dll ملف.
نظرة عامة على حملة Blister للبرامج الضارة
الاستفادة من شهادات توقيع التعليمات البرمجية لتجنب الاكتشاف
تحتوي الصورة أدناه على تفاصيل الشهادة لكيان يسمى «Blist LLC». من الشائع أن يقوم مجرمو الإنترنت إما بسرقة شهادات توقيع التعليمات البرمجية من الأهداف المخترقة، أو استخدام شركة واجهة للحصول على الشهادة، لتوقيع البرامج الضارة معها.
شهادة صادرة لشركة Blist LLC
قامت Sectigo منذ ذلك الحين بإلغاء الشهادة الصادرة للثنائي.
شهادة صادرة عن القسم
المرحلة الأولى من العدوى
نظرة عامة على اللودر
يكتب المُحمل رسالة ضارة .dll ملف في دليل تم إنشاؤه داخل مجلد Temp الخاص بالمستخدم.
في إحدى العينات التي تم تحليلها، أنشأت البرامج الضارة مجلدًا باسم «goalgames» وداخله تم تفريغ أداة التحميل holorui.dll.
ال .dll يحتوي على رمز نشر RAT للحصول على وصول غير مصرح به إلى النظام المصاب.
يقوم المُحمل بكتابة ملف.dll في مجلد Temp الخاص بالمستخدم
عمل اللودر خطوة بخطوة
يتم استخدام واجهة برمجة تطبيقات Win32 CreateDirectoryW لإنشاء مجلد يسمى «goalgames» في المسار: C:\Users\<user>\ AppData\ دليل محلي\ مؤقت. كما هو موضح أدناه.
استخدام واجهة برمجة تطبيقات Win32 CreateDirectoryW لإنشاء مجلد في مجلد Temp الخاص بالمستخدم
قبل تفريغ ملف dll، يقوم المُحمل بتعيين دليل العمل إلى C:\Users\<user>\ بيانات التطبيق\ المحلية\ المؤقتة\ ألعاب الهدف عبر واجهة برمجة تطبيقات Win32 تعيين الدليل الحالي W.
باستخدام واجهة برمجة تطبيقات Win32 setCurrentDirectoryW لتعيين دليل العمل
بعد إعداد دليل العمل، تقوم البرامج الضارة بحل اسم الملف لـ .dll ملف إلى holorui.dll ويخزنها في سجل RCX، لتمريرها لاحقًا إلى Win32 API إنشاء ملف جديد.
تقوم البرامج الضارة بحل اسم الملف الخاص بملف.dll إلى holorui.dll
الملف C:\Users\<user>\ بيانات التطبيق\ محلي\ مؤقت\ ألعاب الهدف\ holorui.dll تم إنشاؤه باستخدام إنشاء ملف جديد API.
holorui.dll تم إنشاؤها باستخدام إنشاء ملف جديد API
بمجرد إنشاء الملف، تبدأ البرامج الضارة في كتابة المحتوى إلى الملف عن طريق نقل وحدات البايت بشكل متكرر من .dll الحمولة في اللودر. واجهة برمجة تطبيقات Win32 اكتب ملف يستخدم لكتابة المحتويات إلى holorui.dll.
ملف كتابة واجهة برمجة تطبيقات Win32 يستخدم لكتابة المحتويات إلى holorui.dll
الخبيثة .dll مضمن في مقطع البيانات الذي تمت تهيئته من ملف PE القابل للتنفيذ الخاص بالمحمل ويتم نقل وحدات البايت إليه C:\Users\<user>\ بيانات التطبيق\ المحلي\ درجة الحرارة\ ألعاب الهدف\ holorui.dll.
رأس MZ للملف المضمن
عند إغلاق المقبض إلى holorui.dll الملف، المكتوب على القرص في دليل Temp، تنتهي البرامج الضارة من تسليم حمولة المرحلة الثانية. ثم يتم إغلاق مقابض الملفات بواسطة البرامج الضارة.
تم إغلاق مقابض الملفات بواسطة البرامج الضارة
يمكن تأكيد التسليم الناجح لـ .dll الضار من خلال تحليل تفاعل البرامج الضارة على النظام.
تسليم ناجح لملف.dll الضار
استنادًا إلى تحليل عينات اللودر المتعددة الموقعة، قمنا بتعداد أسماء الدليل والحمولة المميزة التالية المستخدمة في عينات مختلفة من نفس الحملة:
C:\Users\<user>\ بيانات التطبيق\ محلي\ مؤقت\ ألعاب الهدف\ holorui.dll
C:\Users\<user>\ بيانات التطبيق\ المحلي\ درجة الحرارة\ الإطار\ axsssig.dll
C:\Users\<user>\ بيانات التطبيق\ المحلي\ درجة الحرارة\ البرامج\ holorui.dll
C:\Users\<user>\ بيانات التطبيق\ المحلي\ درجة الحرارة\ إطارات girts\ Pasade.dll
ملاحظة: المحتوى الموجود داخل .dll هو نفسه على الرغم من وجود أسماء مختلفة
المرحلة الثانية من العدوى
في المرحلة الثانية من الإصابة، يقوم المحمل بإنشاء سطر أوامر لتنفيذ الوظيفة تم تصدير لون التشغيل (CPL) من .dll، بواسطة Rundll32.exe على النظام المصاب.
سطر الأوامر لتنفيذ وظيفة LaunchColorCpl
يتم إنشاء عملية جديدة باستخدام سطر الأوامر أعلاه لإنتاج الجولة 32 معالجة عبر إنشاء عملية W واجهة برمجة تطبيقات Win32.
وضع البيض الجولة 32 معالجة عبر إنشاء عملية W واجهة برمجة تطبيقات Win32
المولوّد حديثًا Rundll32.exe يتم إدراج العملية في قائمة العمليات على الجهاز المصاب.
عملية Rundll32.exe التي تم إنتاجها حديثًاتأكيد سطر الأوامر للعملية التي تم إنشاؤها حديثًا
يتم تنفيذ الحمولة النهائية من قبل Rundll32.exe معالجة.
أنشطة الشبكة بين المضيف المصاب والمهاجم C2
في الجزء 2 من هذه المقالة، سنغطي العمل الداخلي لحمولة dll بالتفصيل.