ozztech_logo_white

BLISTER Kötü Amaçlı Yazılım

blister

Blister için güvenlik araştırmacıları, kötü amaçlı kodu meşru yürütülebilir dosyalar olarak gizlemek için geçerli bir kod imzalama sertifikasına dayanan kötü amaçlı bir kampanyayı ortaya çıkardı.

Araştırmacıların Blister adını verdiği yüklerden biri, diğer kötü amaçlı yazılımlar için yükleyici görevi görüyor ve düşük algılama oranına sahip yeni bir tehdit gibi görünüyor.

Blister’ın arkasındaki tehdit aktörü, saldırılarını radar altında tutmak için birden fazla tekniğe güveniyor, kod imzalama sertifikalarının kullanımı hilelerinden sadece biri.

Blister İçin İmzalı mühürlü teslim

Elastic arama şirketinden güvenlik araştırmacıları, Blister kötü amaçlı yazılımının arkasında kim varsa, en az 15 Eylül’den bu yana en az üç aydır kampanya yürütüyor.

Tehdit aktörü, 23 Ağustos’tan itibaren geçerli olan bir kod imzalama sertifikası kullandı. Dijital kimlik sağlayıcısı Sectigo tarafından, Rus sağlayıcı Mail.Ru’dan bir e-posta adresiyle Blist LLC adlı bir şirket için yayınlandı.

blister

Kötü amaçlı yazılımları imzalamak için geçerli sertifikalar kullanmak, tehdit aktörlerinin yıllar önce öğrendiği eski bir numaradır. O zamanlar meşru şirketlerden sertifika çalarlardı. Bu günlerde tehdit aktörleri, tehlikeye attıkları bir firmanın veya bir paravan işin ayrıntılarını kullanarak geçerli bir sertifika talep ediyor.

Bu haftaki bir blog yazısında Elastic, suistimal edilen sertifikayı sorumlu bir şekilde Sectigo’ya bildirdiklerini ve böylece sertifikanın iptal edilebileceğini söyledi.

Araştırmacılar, tehdit aktörünün saldırıyı tespit edilmeden tutmak için birden fazla tekniğe güvendiğini söylüyor. Bir yöntem, Blister kötü amaçlı yazılımını meşru bir kitaplığa colorui.dll gömmekti.

Kötü amaçlı yazılım daha sonra rundll32 komutu aracılığıyla yükseltilmiş ayrıcalıklarla yürütülür. Geçerli bir sertifikayla imzalanması ve yönetici ayrıcalıklarıyla dağıtılması, Blister’ın güvenlik çözümlerini geride bırakmasına neden olur.

Elastik araştırmacılar, bir sonraki adımda, Blister’ın “ağır şekilde karıştırılmış” kaynak bölümündeki önyükleme kodunu çözdüğünü söylüyor. On dakika boyunca kod, muhtemelen sanal alan analizinden kaçma girişiminde bulunur.

Ardından, uzaktan erişim sağlayan ve yanal harekete izin veren yerleşik yüklerin şifresini çözerek harekete geçer. Cobalt Strike ve BitRAT her ikisi de geçmişte birden fazla tehdit aktörü tarafından kullanılmıştır.

Kötü amaçlı yazılım, ProgramData klasöründeki bir kopya ve rundll32.exe olarak gösterilen bir kopya ile kalıcılık sağlar. Ayrıca başlangıç ​​konumuna eklenir, bu nedenle her önyüklemede explorer.exe’nin bir alt öğesi olarak başlatılır.

Elastic’in araştırmacıları, Blister yükleyicinin imzalı ve imzasız sürümlerini buldu ve her ikisi de VirusTotal tarama hizmetinde antivirüs motorlarıyla düşük algılama oranının keyfini çıkardı.

blister

İlk enfeksiyon vektörüne yönelik bu saldırıların amacı belirsizliğini koruyor olsa da, geçerli kod imzalama sertifikalarını, meşru kitaplıklara yerleştirilmiş kötü amaçlı yazılımları ve bellekteki yüklerin yürütülmesini birleştirerek, tehdit aktörleri başarılı bir saldırı şanslarını artırdı.

Elastic, Blister etkinliğini belirlemek için bir Yara kuralı oluşturdu ve kuruluşların tehdide karşı savunmasına yardımcı olmak için uzlaşma göstergeleri sağlıyor.

Bu makalemizi beğendiyseniz sizleri Play Store’da Yeni Bir Kötü Yazılım adlı makalemize bekliyoruz: https://www.ozztech.net/siber-guvenlik/play-storeda-yeni-bir-kotu-yazilim/

İlginizi Çekebilecek Makaleler​

Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »
.OrianaLOG Nedir?

.OrianaLOG Nedir? ve Ne işe Yarar?  .OrianaLOG bir sistem veya uygulamanın çalışması sırasında oluşan log (kayıt) dosyalarının toplanması, depolanması, analiz edilmesi ve incelenmesine olanak sağlayan bir

Devamı »