Elastic Security 发现 BLISTER 恶意软件活动

关键要点

• Elastic Security 发现了一场隐蔽的恶意软件活动，该活动利用有效的代码签名证书来逃避检测
• 一个名为 BLISTER 的新型恶意软件加载程序被用于在内存中执行第二阶段恶意软件有效负载并维持持久性
• 已识别的恶意软件样本在 VirusTotal 上的检测率非常低或没有检测
• Elastic 提供了开箱即用的分层防护，抵御此威胁

有关 BLISTER 恶意软件加载程序和活动观察的信息，请查看我们的博文和配置提取器，其中详细介绍了此内容

• BLISTER 恶意软件分析
• BLISTER 配置提取器

概述

Elastic Security 团队在审查我们的威胁防护遥测数据后，发现了一组值得注意的恶意活动集群。一个有效的代码签名证书被用于对恶意软件进行签名，以帮助攻击者避开安全社区的雷达。我们还发现了一个在该活动中使用的新的恶意软件加载程序，我们将其命名为 BLISTER。观察到的大多数恶意软件样本在

Elastic 的分层方法可以防止此类攻击和类似的威胁。

在一个被阻止的攻击中，我们的恶意行为防护触发了多个针对“通过重命名签名二进制代理执行”、“Windows 错误管理器/报告伪装”和“通过 Windows 脚本进行可疑 PowerShell 执行”的高置信度警报。此外，我们的内存威胁防护识别并阻止了 BLISTER 将其嵌入的有效负载注入目标进程。

最后，我们还从我们的开源检测引擎规则中获得了额外的防护 [

详细信息

证书滥用

此活动的一个关键方面是使用了由

我们负责任地向 Sectigo 公开了此活动，以便他们采取措施并吊销被滥用的证书。以下是有关受损证书的详细信息。我们观察到早在 2021 年 9 月 15 日就有使用此证书签名的恶意软件。

颁发者：Sectigo 公共代码签名 CA R36_颁发给：_Blist LLC_序列号：_2f4a25d52b16eb4c9dfe71ebbd8121bb_有效期自：‎_2021 年 8 月 23 日星期一 下午 4:00_有效期至：‎_2022 年 8 月 24 日星期三 下午 3:59:59

VirusTotal。目前尚不清楚攻击者的感染载体和目标。1] [2]。为了确保整个社区的覆盖范围，我们提供了 YARA 规则和 IoC，以帮助防御者识别受影响的系统。Sectigo。攻击者可以窃取合法的代码签名证书，也可以直接或通过空壳公司从证书颁发机构购买证书。带有有效代码签名证书的可执行文件通常比未签名可执行文件受到的审查程度要低。它们的使用使攻击者能够在更长的时间内避开雷达并逃避检测。

BLISTER 恶意软件加载程序

此活动另一个有趣的方面是似乎是一个新的恶意软件加载程序，在 VirusTotal 中的检测率有限。我们将其称为 BLISTER 加载程序。加载程序被拼接到了合法的库（例如 colorui.dll）中，可能是为了确保大多数磁盘占用空间具有已知良好的代码和元数据。加载程序最初可以从简单的投放程序可执行文件中写入磁盘。 一个此类投放程序将签名的 BLISTER 加载程序写入 %temp%\Framwork\axsssig.dll 并使用 rundll32 执行它。LaunchColorCpl 是 BLISTER 使用的常见 DLL 导出和入口点名称，如命令行参数所示

Rundll32.exe C:\Users\user\AppData\Local\Temp\Framwork\axsssig.dll,LaunchColorCpl

执行后，BLISTER 使用以下所示的简单 4 字节 XOR 例程解码存储在资源部分中的引导代码

引导代码被大量混淆，并最初休眠 10 分钟。这可能是为了逃避沙箱分析。延迟后，它会解密嵌入的恶意软件有效负载。我们观察到 CobaltStrike 和 BitRat 作为嵌入的恶意软件有效负载。解密后，嵌入的有效负载将加载到当前进程中或注入新生成的 WerFault.exe 进程中。

最后，BLISTER 通过将自身复制到 C:\ProgramData 文件夹以及 rundll32.exe 的重命名本地副本建立持久性。在当前用户的启动文件夹中创建了一个链接，以便在登录时作为 explorer.exe 的子进程启动恶意软件。

YARA

我们创建了一个 YARA 规则来识别此 BLISTER 活动

rule Windows_Trojan_Blister{
    meta:
        author = “Elastic Security”
        creation_date = "2021-12-20"
        last_modified = "2021-12-20"
        os = "Windows"
        category_type = "Trojan"
        family = "Blister"
        threat_name = "Windows.Trojan.Blister"
        reference_sample = "0a7778cf6f9a1bd894e89f282f2e40f9d6c9cd4b72be97328e681fe32a1b1a00"

    strings:
        $a1 = {8D 45 DC 89 5D EC 50 6A 04 8D 45 F0 50 8D 45 EC 50 6A FF FF D7}
        $a2 = {75 F7 39 4D FC 0F 85 F3 00 00 00 64 A1 30 00 00 00 53 57 89 75}
condition:
        any of them
}

防御建议

Elastic Endpoint 警报

Elastic Endpoint Security 通过停止内存中线程执行和防止恶意行为，为该威胁提供了深度防护。

内存威胁检测警报：Shellcode 注入

恶意行为检测警报：通过重命名签名二进制代理执行

狩猎查询

这些查询可用于 Kibana 的“安全”->“时间线”->“创建新时间线”->“关联查询编辑器”。虽然这些查询将识别此入侵集，但它们还可以识别其他值得注意的事件，一旦进行调查，这些事件可能导致其他恶意活动。

通过重命名 Rundll32 进行代理执行

查找 rundll32.exe 的重命名实例

process where event.action == "start" and
process.name != null and
(process.pe.original_file_name == "RUNDLL32.EXE" and not process.name : "RUNDLL32.EXE")

伪装成 WerFault

查找潜在的恶意 WerFault.exe 实例（Windows 错误报告），试图将其伪装成合法的系统进程，该进程通常被排除在基于行为的检测之外，因为它是一个已知的常见误报

process where event.action == "start" and
  process.executable :
   ("?:\\Windows\\Syswow64\\WerFault.exe" ,"?:\\Windows\\System32\\WerFault.exe") and
   /*
     legit WerFault will have more than one argument in process.command_line
   */
  process.args_count == 1

通过注册表运行键/启动文件夹实现持久性

恶意软件创建新的运行键以实现持久性

registry where registry.data.strings != null and
 registry.path : (
  /* Machine Hive */      "HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\*",
"HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run\\*",  "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Shell\\*",

 /* Users Hive */
"HKEY_USERS\\*\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\*",
"HKEY_USERS\\*\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run\\*", "HKEY_USERS\\*\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Shell\\*"
     )

可疑的启动 Shell 文件夹修改

通过 COM（dllhost.exe）修改注册表中的默认启动值，然后在新的修改后的启动文件夹中写入快捷方式文件以实现持久性

sequence by host.id with maxspan=1m
 [registry where
  /* Modify User default Startup Folder */
  registry.path : (
     "HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\User Shell Folders\\Common Startup",
     "HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders\\Common Startup",
     "HKEY_USERS\\*\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\User Shell Folders\\Startup",
     "HKEY_USERS\\*\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders\\Startup"
     ) ]
  /* Write File to Modified Startup Folder */
    [file where event.type : ("creation", "change") and file.path : "?:\\Users\\*\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\*"]

Elastic 检测引擎规则

以下现有的公共检测规则也可用于检测某些已采用的技术

潜在的 Windows 错误管理器伪装

通过 PowerShell 添加 Windows Defender 排除项

启动或运行键注册表修改

为持久性写入或修改快捷方式文件

可疑的启动 Shell 文件夹修改

MITRE ATT&CK

T1218.011 - 签名二进制代理执行：Rundll32

T1055 - 进程注入

T1547.001 - 注册表运行键/启动文件夹

T1036 - 伪装

总结

BLISTER 加载程序具有一些技巧，使其能够在安全社区的雷达下运行数月。这包括利用有效的代码签名证书、感染合法库以欺骗机器学习模型以及在内存中执行有效负载。但是，Elastic Security 提供的深度保护意味着我们仍然能够识别并阻止现实世界的攻击。

现有的 Elastic Security 可以在产品中访问这些功能。如果您是 Elastic Security 的新手，请查看我们的 快速入门指南（简短的培训视频，帮助您快速入门）或我们的 免费基础知识培训课程。您始终可以开始使用 Elastic Cloud 的 14 天免费试用版。

指标

| | |