Elastic Security 揭露 BLISTER 恶意软件活动

主要发现

• Elastic Security 发现了一个隐蔽的恶意软件活动，该活动利用有效的代码签名证书来逃避检测
• 一种名为 BLISTER 的新型恶意软件加载器用于在内存中执行第二阶段恶意软件有效载荷并保持持久性
• 已识别的恶意软件样本在 VirusTotal 上的检测率非常低或为零
• Elastic 提供了开箱即用的针对此威胁的分层预防覆盖

有关 BLISTER 恶意软件加载器和活动观察的信息，请查看我们的博文和配置提取器，其中详细介绍了这一点

• BLISTER 恶意软件分析
• BLISTER 配置提取器

概述

在审查我们的威胁预防遥测数据后，Elastic Security 团队发现了一个值得注意的恶意活动集群。使用有效的代码签名证书对恶意软件进行签名，以帮助攻击者避开安全社区的注意。我们还发现了一种在活动中使用的新型恶意软件加载器，我们将其命名为 BLISTER。在

Elastic 的分层攻击预防方法可保护您免受此类和类似威胁的侵害。

在一个被阻止的攻击中，我们的恶意行为预防触发了多个高可信度警报，例如“通过重命名的签名二进制代理执行”、“Windows 错误管理器/报告伪装”和“通过 Windows 脚本的可疑 PowerShell 执行”。此外，我们的内存威胁预防功能识别并阻止了 BLISTER 将其嵌入式有效载荷注入到目标进程中。

最后，我们还有来自开源检测引擎规则的其他覆盖范围 [

详细信息

证书滥用

此活动的一个关键方面是使用由

我们负责任地向 Sectigo 披露了此活动，以便他们可以采取行动并撤销被滥用的证书。下面显示了有关被入侵证书的详细信息。我们最早在 2021 年 9 月 15 日就观察到使用此证书签名的恶意软件。

颁发者：Sectigo Public Code Signing CA R36_颁发给：_Blist LLC_序列号：_2f4a25d52b16eb4c9dfe71ebbd8121bb_有效期从：‎_2021 年 ‎8 月 23 日星期一 ‎下午 4:00:00_有效期至：‎_2022 年 ‎8 月 24 日星期三 下午 3:59:59

VirusTotal 中的检测率非常低或为零。目前尚不清楚攻击者的感染媒介和目标。1] [2]。为了确保覆盖整个社区，我们正在加入 YARA 规则和 IoC，以帮助防御者识别受影响的系统。Sectigo。攻击者可以窃取合法的代码签名证书，或者直接从证书颁发机构或通过前端公司购买证书。具有有效代码签名证书的可执行文件通常会受到比未签名可执行文件更少的审查。它们的使用允许攻击者保持低调，并逃避检测更长的时间。

BLISTER 恶意软件加载器

此活动的另一个有趣方面是似乎是在 VirusTotal 中检测有限的新型恶意软件加载器。我们将其称为 BLISTER 加载器。加载器被拼接成合法的库（例如 colorui.dll），可能是为了确保磁盘上的大部分内容都具有已知良好的代码和元数据。加载器可以最初从简单的 dropper 可执行文件写入磁盘。一个这样的 dropper 将签名 BLISTER 加载器写入 %temp%\Framwork\axsssig.dll 并使用 rundll32 执行它。LaunchColorCpl 是 BLISTER 使用的常见 DLL 导出和入口点名称，如命令行参数所示

Rundll32.exe C:\Users\user\AppData\Local\Temp\Framwork\axsssig.dll,LaunchColorCpl

执行后，BLISTER 使用以下所示的简单 4 字节 XOR 例程解码存储在资源部分中的引导代码

引导代码经过高度混淆，最初会休眠 10 分钟。这很可能是试图逃避沙箱分析。延迟后，它会解密嵌入的恶意软件有效载荷。我们观察到 CobaltStrike 和 BitRat 作为嵌入的恶意软件有效载荷。解密后，嵌入的有效载荷将加载到当前进程中或注入到新生成的 WerFault.exe 进程中。

最后，BLISTER 通过将其自身复制到 C:\ProgramData 文件夹以及 rundll32.exe 的重命名本地副本，来建立持久性。在当前用户的启动文件夹中创建一个链接，以在登录时将恶意软件作为 explorer.exe 的子进程启动。

YARA

我们创建了一条 YARA 规则来识别此 BLISTER 活动

rule Windows_Trojan_Blister{
    meta:
        author = “Elastic Security”
        creation_date = "2021-12-20"
        last_modified = "2021-12-20"
        os = "Windows"
        category_type = "Trojan"
        family = "Blister"
        threat_name = "Windows.Trojan.Blister"
        reference_sample = "0a7778cf6f9a1bd894e89f282f2e40f9d6c9cd4b72be97328e681fe32a1b1a00"

    strings:
        $a1 = {8D 45 DC 89 5D EC 50 6A 04 8D 45 F0 50 8D 45 EC 50 6A FF FF D7}
        $a2 = {75 F7 39 4D FC 0F 85 F3 00 00 00 64 A1 30 00 00 00 53 57 89 75}
condition:
        any of them
}

防御建议

Elastic Endpoint 警报

Elastic Endpoint Security 通过停止内存中的线程执行并阻止恶意行为，为此威胁提供了深度覆盖。

内存威胁检测警报：Shellcode 注入

恶意行为检测警报：通过重命名的签名二进制代理执行

搜索查询

这些查询可以在 Kibana 的“安全”->“时间线”->“创建新时间线”->“关联查询编辑器”中使用。虽然这些查询将识别此入侵集，但它们还可以识别其他值得注意的事件，一旦调查，这些事件可能会导致其他恶意活动。

通过重命名的 Rundll32 执行代理

搜索 rundll32.exe 的重命名实例

process where event.action == "start" and
process.name != null and
(process.pe.original_file_name == "RUNDLL32.EXE" and not process.name : "RUNDLL32.EXE")

伪装成 WerFault

搜索潜在的恶意 WerFault.exe（Windows 错误报告）实例，以试图伪装成合法的系统进程，该进程通常因已知频繁的误报而从基于行为的检测中排除

process where event.action == "start" and
  process.executable :
   ("?:\\Windows\\Syswow64\\WerFault.exe" ,"?:\\Windows\\System32\\WerFault.exe") and
   /*
     legit WerFault will have more than one argument in process.command_line
   */
  process.args_count == 1

通过注册表运行键/启动文件夹实现持久性

恶意软件会创建一个新的运行键以实现持久性

registry where registry.data.strings != null and
 registry.path : (
  /* Machine Hive */      "HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\*",
"HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run\\*",  "HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Shell\\*",

 /* Users Hive */
"HKEY_USERS\\*\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\*",
"HKEY_USERS\\*\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run\\*", "HKEY_USERS\\*\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Shell\\*"
     )

可疑的启动 Shell 文件夹修改

通过 COM (dllhost.exe) 修改注册表中的默认启动值，然后在新的修改启动文件夹中写入快捷方式文件以实现持久性

sequence by host.id with maxspan=1m
 [registry where
  /* Modify User default Startup Folder */
  registry.path : (
     "HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\User Shell Folders\\Common Startup",
     "HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders\\Common Startup",
     "HKEY_USERS\\*\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\User Shell Folders\\Startup",
     "HKEY_USERS\\*\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders\\Startup"
     ) ]
  /* Write File to Modified Startup Folder */
    [file where event.type : ("creation", "change") and file.path : "?:\\Users\\*\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\*"]

Elastic 检测引擎规则

以下现有的公共检测规则也可用于检测某些采用的技术

潜在的 Windows 错误管理器伪装

通过 PowerShell 添加的 Windows Defender 排除项

启动或运行键注册表修改

写入或修改的快捷方式文件以实现持久性

可疑的启动 Shell 文件夹修改

MITRE ATT&CK

T1218.011 - 签名二进制代理执行：Rundll32

T1055 - 进程注入

T1547.001 - 注册表运行键/启动文件夹

T1036 - 伪装

摘要

BLISTER 加载器具有一些技巧，使其能够数月来避开安全社区的注意。这包括利用有效的代码签名证书、感染合法的库来欺骗机器学习模型，以及在内存中执行有效负载。但是，Elastic Security 提供的深度保护意味着我们仍然能够识别并阻止野外攻击。

现有的 Elastic Security 用户可以在产品内访问这些功能。如果您是 Elastic Security 的新手，请查看我们的快速入门指南（可让您快速入门的简短培训视频）或我们的免费基础培训课程。您可以随时开始免费试用 14 天的 Elastic Cloud。

指标

| | |