OzzTech - BLISTER Kötü Amaçlı Yazılım

BLISTER Kötü Amaçlı Yazılım

blister

Blister için güvenlik araştırmacıları, kötü amaçlı kodu meşru yürütülebilir dosyalar olarak gizlemek için geçerli bir kod imzalama sertifikasına dayanan kötü amaçlı bir kampanyayı ortaya çıkardı.

Araştırmacıların Blister adını verdiği yüklerden biri, diğer kötü amaçlı yazılımlar için yükleyici görevi görüyor ve düşük algılama oranına sahip yeni bir tehdit gibi görünüyor.

Blister'ın arkasındaki tehdit aktörü, saldırılarını radar altında tutmak için birden fazla tekniğe güveniyor, kod imzalama sertifikalarının kullanımı hilelerinden sadece biri.

Blister İçin İmzalı mühürlü teslim

Elastic arama şirketinden güvenlik araştırmacıları, Blister kötü amaçlı yazılımının arkasında kim varsa, en az 15 Eylül'den bu yana en az üç aydır kampanya yürütüyor.

Tehdit aktörü, 23 Ağustos'tan itibaren geçerli olan bir kod imzalama sertifikası kullandı. Dijital kimlik sağlayıcısı Sectigo tarafından, Rus sağlayıcı Mail.Ru'dan bir e-posta adresiyle Blist LLC adlı bir şirket için yayınlandı.

blister

Kötü amaçlı yazılımları imzalamak için geçerli sertifikalar kullanmak, tehdit aktörlerinin yıllar önce öğrendiği eski bir numaradır. O zamanlar meşru şirketlerden sertifika çalarlardı. Bu günlerde tehdit aktörleri, tehlikeye attıkları bir firmanın veya bir paravan işin ayrıntılarını kullanarak geçerli bir sertifika talep ediyor.

Bu haftaki bir blog yazısında Elastic, suistimal edilen sertifikayı sorumlu bir şekilde Sectigo'ya bildirdiklerini ve böylece sertifikanın iptal edilebileceğini söyledi.

Araştırmacılar, tehdit aktörünün saldırıyı tespit edilmeden tutmak için birden fazla tekniğe güvendiğini söylüyor. Bir yöntem, Blister kötü amaçlı yazılımını meşru bir kitaplığa colorui.dll gömmekti.

Kötü amaçlı yazılım daha sonra rundll32 komutu aracılığıyla yükseltilmiş ayrıcalıklarla yürütülür. Geçerli bir sertifikayla imzalanması ve yönetici ayrıcalıklarıyla dağıtılması, Blister'ın güvenlik çözümlerini geride bırakmasına neden olur.

Elastik araştırmacılar, bir sonraki adımda, Blister'ın "ağır şekilde karıştırılmış" kaynak bölümündeki önyükleme kodunu çözdüğünü söylüyor. On dakika boyunca kod, muhtemelen sanal alan analizinden kaçma girişiminde bulunur.

Ardından, uzaktan erişim sağlayan ve yanal harekete izin veren yerleşik yüklerin şifresini çözerek harekete geçer. Cobalt Strike ve BitRAT her ikisi de geçmişte birden fazla tehdit aktörü tarafından kullanılmıştır.

Kötü amaçlı yazılım, ProgramData klasöründeki bir kopya ve rundll32.exe olarak gösterilen bir kopya ile kalıcılık sağlar. Ayrıca başlangıç ​​konumuna eklenir, bu nedenle her önyüklemede explorer.exe'nin bir alt öğesi olarak başlatılır.

Elastic'in araştırmacıları, Blister yükleyicinin imzalı ve imzasız sürümlerini buldu ve her ikisi de VirusTotal tarama hizmetinde antivirüs motorlarıyla düşük algılama oranının keyfini çıkardı.

blister

İlk enfeksiyon vektörüne yönelik bu saldırıların amacı belirsizliğini koruyor olsa da, geçerli kod imzalama sertifikalarını, meşru kitaplıklara yerleştirilmiş kötü amaçlı yazılımları ve bellekteki yüklerin yürütülmesini birleştirerek, tehdit aktörleri başarılı bir saldırı şanslarını artırdı.

Elastic, Blister etkinliğini belirlemek için bir Yara kuralı oluşturdu ve kuruluşların tehdide karşı savunmasına yardımcı olmak için uzlaşma göstergeleri sağlıyor.

Bu makalemizi beğendiyseniz sizleri Play Store’da Yeni Bir Kötü Yazılım adlı makalemize bekliyoruz: https://www.ozztech.net/siber-guvenlik/play-storeda-yeni-bir-kotu-yazilim/


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.