Análise técnica da campanha de malware “Blister” assinada por código (Parte 1)

Um novo malware, chamado de “Blister”, pela equipe da Elastic Security que o identificou, está aproveitando certificados de assinatura de código válidos em sistemas Windows para evitar a detecção por software antivírus. O malware tem o nome de uma de suas cargas, Blister, que implementa ainda mais cargas úteis de segundo estágio.

Os agentes de ameaças que orquestraram as campanhas do Blister estão ativos desde 15 de setembro de 2021 e usam certificados de assinatura de código que foram validados em 23 de agosto de 2021. Esses certificados foram emitidos pela Sectigo para o endereço de e-mail mail.ru da Blist LLC. É notável que o mail.ru seja um provedor de serviços de e-mail russo amplamente utilizado.

O malware mascara componentes maliciosos como arquivos executáveis genuínos, devido aos quais tem uma baixa taxa de detecção. Além de usar certificados de assinatura de código, os agentes da ameaça também estão aproveitando outras técnicas, como vincular o Blister a uma biblioteca legítima no sistema infectado, para permanecerem fora do radar.

Modus Operandi da campanha Blister

Sabe-se que os agentes de ameaças usam a assinatura de código para contornar as verificações estáticas básicas de segurança e comprometer os sistemas das vítimas. O malware Blister não é diferente, pois usa um certificado emitido pela Sectigo para fazer com que o programa de malware carregador pareça genuíno para os produtos de segurança. Em seguida, ele implanta um Trojan de Acesso Remoto (RAT) no sistema de destino para obter acesso não autorizado.

UM .dll o arquivo é usado como uma carga útil de segundo estágio para executar o farol RAT/CobaltStrike codificado. Desde o .dll O arquivo não tem traços maliciosos; houve muito poucas detecções no VirusTotal. No entanto, o carregador usa Rundll32.exe para executar o Inicie o ColorCPL função exportada pelo malicioso .dll arquivo.

Aproveitando certificados de assinatura de código para evitar a detecção

• A imagem abaixo contém os detalhes do certificado para uma entidade chamada “Blist LLC”. É comum que os cibercriminosos roubem certificados de assinatura de código de alvos comprometidos ou usem uma empresa de fachada para obter o certificado e assinar o malware.

• Desde então, a Sectigo revogou o certificado emitido para o binário.

Primeiro estágio da infecção

Visão geral do carregador

• O carregador grava um código malicioso .dll arquivo em um diretório criado dentro da pasta Temp do usuário.
• Em uma das amostras analisadas, o malware criou uma pasta chamada “goalgames” e dentro dela o carregador despejou holorui.dll.
• O .dll hospeda o código para implantar o RAT para obter acesso não autorizado ao sistema infectado.

Funcionamento passo a passo do carregador

• A API Win32 CreateDirectoryW é usada para criar uma pasta chamada “goalgames” no caminho: Diretório C:\Users<user>\\ AppData\ Local\ Temp. conforme mostrado abaixo.

• Antes de despejar a .dll, o carregador define o diretório de trabalho como C:\Users\<user>\ AppData\ Local\ Temp\ goalgames via API Win32 Definir diretório atual W.

• Depois de definir o diretório de trabalho, o malware resolve o nome do arquivo do .dll arquivo para holorui.dll e o armazena no registro RCX, para depois passá-lo para a API Win32 Criar arquivo W.

• O arquivo C:\Users\<user>\ AppData\ Local\ Temp\ goalgames\ holorui.dll é criado usando o Criar arquivo W API.

• Depois que o arquivo é criado, o malware começa a gravar o conteúdo no arquivo transferindo iterativamente bytes do .dll carga útil no carregador. A API Win32 Gravar arquivo é usado para escrever conteúdo em holorui.dll.

• O malicioso .dll é incorporado no segmento de dados inicializado do executável PE do carregador e os bytes são transferidos para C:\Users\<user>\ AppData\ Local\ Temp\ goalgames\ holorui.dll.

• Ao fechar a alça do holorui.dll arquivo, gravado no disco no diretório Temp, o malware termina de entregar a carga útil do segundo estágio. Em seguida, os identificadores dos arquivos são fechados pelo malware.

• A entrega bem-sucedida do .dll malicioso pode ser confirmada analisando a interação do malware no sistema.

• Com base na análise de várias amostras de carregadores assinados, enumeramos os seguintes nomes distintos de diretórios e cargas úteis usados em diferentes amostras da mesma campanha:
  • C:\Users\<user>\ AppData\ Local\ Temp\ goalgames\ holorui.dll
  • C:\Users\<user>\ AppData\ Local\ Temp\ Framwork\ axsssig.dll
  • C:\Users\<user>\ AppData\ Local\ Temp\ oarimgamings\ holorui.dll
  • C:\Users\\ <user>AppData\ Local\ Temp\ guirtsframworks\ Pasade.dll

Nota: O conteúdo dentro do .dll é o mesmo apesar de ter nomes diferentes

Segundo estágio da infecção

• No segundo estágio da infecção, o carregador gera uma linha de comando para executar a função LaunchColorCPL exportado do .dll, através da Rundll32.exe no sistema infectado.

• Um novo processo é criado com a linha de comando acima para gerar um Ronda 32 processo via Criar processo W API Win32.

• O recém-desovado Rundll32.exe o processo está listado na lista de processos na máquina infectada.

• A carga útil final é executada pelo Rundll32.exe processo.

Na parte 2 deste artigo, abordaremos detalhadamente o funcionamento interno do payload .dll.

Indicadores de compromisso (IOCs)

Hash-MD5 do arquivo

Arquivo HASH-SHA1

Arquivo HASH-SHA256

Domínios

• discountshadesdirect.com
• domínio: clippershipintl.com
• domínio: bimelectrical.com

IPv4

• 93,115.18.248
• 188,68,221,203
• 185,170,213,186

Carregadores assinados

• ed6910fd51d6373065a2f1d3580ad645f443bf0badc398aa77185324b0284db8
• cb949ebe87c55c0ba6cf0525161e2e6670c1ae186ab83ce46047446e9753a926
• 7b9091c41525f1721b12dcef601117737ea990cee17a8eecf81dcfb25ccb5a8f
• 84a67f191a93ee827c4829498d2cb1d27bdd9e47e136dc6652a5414dab440b74
• cc31c124fc39025f5c3a410ed4108a56bb7c6e90b5819167a06800d02ef1f028
• 9472d4cb393256a62a466f6601014e5cb04a71f115499c320dc615245c7594d4
• 4fe551bcea5e07879ec84a7f1cea1036cfd0a3b03151403542cab6bd8541f8e5
• 1a10a07413115c254cb7a5c4f63ff525e64adfe8bb60acef946bb7656b7a2b3d
• 9bccc1862e3e5a6c89524f2d76144d121d0ee95b1b8ba5d0ffcaa23025318a60
• 8a414a40419e32282d33af3273ff73a596a7ac8738e9cdca6e7db0e41c1a7658
• 923b2f90749da76b997e1c7870ae3402aba875fdbdd64f79cbeba2f928884129
• ed241c92f9bc969a160da2c4c0b006581fa54f9615646dd46467d24fe5526c7a
• 294c710f4074b37ade714c83b6b7bf722a46aef61c02ba6543de5d59edc97b60

DLL

• BE7E259D5992180EADFE3F4F3AB1A5DECC6A394DF60C7170550B3D222FCE5F19