به گزارش کارگروه امنیت سایبربان؛ محققین امنیتی از کمپین مخربی پرده برداری کرده اند که مبتنی بر گواهی امضاء کد معتبر می باشد. بازیگران مخرب با این کار می توانند در نقاب فایل های قابل اجرای بدون ایراد، کد مخرب را مورد استفاده قرار دهند.
یکی از پی لودهایی که محققین آن را Blister می نامند به عنوان لود کننده برای دیگر بدافزارها عمل می کند. این پی لود ظاهرا تهدید جدیدی است که به سختی شناسایی می شود.
عاملین Blister از تکنیک های زیادی برای شناسایی نشدن حملات خود استفاده می کنند که گواهی های امضاء کد تنها یکی از آنهاست.
طبق ادعای محققین امنیتی شرکت Elastic، این کمپین دست کم سه ماه است که در جریان می باشد. (از 15 سپتامبر)
استفاده از گواهی های معتبر برای امضای بدافزار، یک ترفند قدیمی است که بازیگران مخرب سال ها پیش آن را فرا گرفتند. بازیگران مخرب این روزها با استفاده از جزئیات شرکتی که آن را در معرض خطر قرار دادند، گواهی معتبری را درخواست می کنند.
یکی از روش هایی که محققین برای شناسایی نشدن مورد استفاده قرار می دادند، جا گذاری بدافزار Blister در یک کتابخانه غیر جعلی بود. این بدافزار سپس از طریق دستور rundll32 با دسترسی و امتیازات ویژه ای بر روی دستگاه اجرا می شود.
امضا شدن با یک گواهی معتبر و استفاده از دسترسی های بیشتر و مدیریتی، این امکان را به Blister می دهند تا راهکارهای امنیتی را دور بزنند.
در مرحله بعد، Blister از کد بوت استرپ بخش منبع که به سختی مبهم سازی شده رمزگشایی می شود. این کد به مدت 10 دقیقه غیر فعال باقی می ماند تا بتواند بررسی های سند باکس را از بین ببرد.
Blister سپس به با رمزنگاری پی لودهای تعبیه شده ای که مجوز دسترسی راه دور و حرکات جانبی می دهند، شروع به فعالیت می کند. (BitRAT و Cobalt Strike)
این بدافزار با یک کپی از خود در فولدر ProgramData و rundll32.exe. به استمرار دست پیدا خواهد کرد.
اجرای این پی لودها در مموری، شانس بازیگران مخرب برای حملات موفق را افزایش می دهد.
