Не изпускай тези оферти:
Поредна опасност за Windows компютрите бе разкрита от спецове по сигурността
(снимка: CC0 Public Domain)
Изследователи по сигурността разкриха офанзива против Windows компютри , която разчита на годен документ за сключване на код, с цел да прикрие злонамерения програмен продукт като законни изпълними файлове .
Един от пейлоуд файловете, наименуван Blister, работи като инструмент за зареждане на различен вредоносен софтуер и наподобява е нова опасност, която към този момент се радва на невисок % на разкриване. Хората зад Blister разчитат на голям брой техники, а потреблението на документ за сключване на код е единствено един от триковете.
Злонамерени офанзиви с Blister се организират минимум от три месеца насам – най-малко от 15 септември, откриха откриватели по сигурността от компанията за търсене Elastic, на които се базира обява в.
Заплахата обаче употребява документ за сключване на код, който е годен от 23 август. Той е публикуван от доставчика на цифрова еднаквост Sectigo за компания, наречена Blist LLC с имейл адрес от съветския снабдител Mail.Ru.
Използването на годни документи за сключване на злоумишлен програмен продукт е остарял трик, който атакуващите употребяват от години. Тогава те крадяха документи от законни компании. Сега изискват годен документ, като употребяват данни на компания, която са компрометирали, или на подправен бизнес.
В блог обява от тази седмица Elastic заяви, че е докладвала компрометирания документ на Sectigo, с цел да бъде анулиран. Изследователите споделят, че атакуващите са разчитали на голям брой техники, с цел да останат неразкрити. Един от методите е вграждане на злоумишлен програмен продукт Blister в законна библиотека (напр. colorui.dll).
още по темата
След това злонамереният програмен продукт се извършва с нараснали привилегии посредством команда на Rundll32. Подписването с годен документ и внедряването с разрешава на Blister да преодолее решенията за сигурност.
На последваща стъпка Blister декодира от ресурсната секция код за зареждане, който е „ мощно мъгляв ”, разясняват откривателите от Elastic. В протежение на 10 минути кодът остава неактивен, евентуално в опит да избегне sandbox разбора.
След това се декриптира вграден пейлоуд, който обезпечава далечен достъп и активиране на Cobalt Strike и BitRAT – и двата инструмента са били употребявани от голям брой закани в предишното.
Злонамереният програмен продукт реализира резистентност с копие в досието ProgramData и друго копие, което се показва като rundll32.exe. Той се прибави и към започващите стратегии и по този начин се задейства при всяко зареждане като „ дете ” на explorer.exe.
Изследователите на Elastic са разкрили подписани и неподписани версии на Blister Loader , като и двете се радват на невисок % на разкриване от антивирусите в услугата за сканиране VirusTotal.
Въпреки че задачата на тези закани остава неразбираема, посредством съчетание на годни документи за сключване на код,, вграден в законни библиотеки, и осъществяване на пейлоуд в паметта, нападателите усилват възможностите си за сполучлива офанзива.
Elastic е основала Yara предписание за идентифициране на Blister интензивност и дава знаци за компрометиране, с цел да помогне на организациите да се пазят против новата опасност.