恶意软件利用合法的代码签名证书横行Windows 系统

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

研究人员将其中一种 payload 称为 Blister，它是其它恶意软件的加载器，似乎是一种新型威胁，检测率较低。Blister 的幕后黑手一直依赖于多种技术隐藏行踪，其中一种就是利用代码签名证书。

Elastic 安全公司的研究员表示，Blister 恶意软件至少运行了三个月之久，至少始于9月15日。

威胁行动者使用的代码签名证书的有效期始于8月23日，由数字化身份提供商 Sectigo 通过俄罗斯提供商 Mail.Ru 提供的邮件地址为 Blist LLC 颁发。

使用合法证书签署恶意软件是威胁行动者多年以来的惯用伎俩。当时威胁行动者常常窃取合法企业的证书。近年来，威胁行动者利用他们攻陷或前端业务的详情请求合法证书。

Elastic 公司发布博客文章指出已经将滥用证书的情况告知 Sectigo，以便后者将其撤销。研究人员指出威胁行动者依靠多种技术使攻击不被检测到。其中一种方法使将 Blister 恶意软件嵌入合法库（如 colorui.dll）中。之后威胁而行动者通过 rundll32 命令以提升后权限执行恶意软件。由于以合法证书签名并以管理员权限部署，Blister 躲开了多种安全解决方案的检测。接着，Blister解码“被严重混淆”的资源部分引导代码。十分钟的时间里，代码仍然保持休眠状态，似乎是为了躲避沙箱分析。之后它解码提供远程访问的嵌入式payload 并使其横向移动：Cobalt Strike 和 BitRAT，过去它们曾被多个威胁行动者利用。

Blister 恶意软件通过 ProgramData 文件夹中的以及作为 rundll32.exe 的另外一个副本实现可持久性。该恶意软件也被添加到启动位置，使其能作为 explorer.exe 的子类在每次重启时启动。

研究人员发现了 Blister 加载器的签名版本和未签名版本，它们在 VirusTotal 扫描服务商的检测率都较低。

虽然这些攻击的目标尚不明朗，但通过结合有效的代码签名证书、嵌入合法库中的恶意软件和在内存中执行payload，威胁行动者提高了攻击的成功率。

研究人员已发布识别 Blister 活动的 Yara 规则并提供妥协指标，帮助组织机构防御该攻击。