序言
在网络犯罪威胁瞬息万变的世界中,恶意行为者的顽强和适应能力是一个重大问题。BLISTER 是一种恶意软件加载器,最初由 Elastic 安全实验室在 2021 年发现,与经济动机的入侵相关,它证明了这种趋势,因为它继续开发其他功能。在最初发现的两年后,BLISTER 继续接收更新,同时在雷达下飞行,并作为一种新兴威胁获得动力。来自 Palo Alto 的 Unit 42 的最新发现描述了一个更新的 SOCGHOLISH 感染链,用于分发 BLISTER 并从 MYTHIC(一个开源命令和控制 (C2) 框架)部署有效负载。
主要发现
- Elastic 安全实验室一直在监视 BLISTER 恶意软件加载器,它正在进行新的更改,并不断开发,有即将发生的威胁活动的迹象
- 新的 BLISTER 更新包括密钥功能,该功能允许精确定位受害者网络,并降低在 VM/沙盒环境中的暴露风险
- BLISTER 现在集成了删除任何进程检测挂钩的技术,并对其配置进行了多次修订,现在包含其他字段和标志。
概述
我们的研究发现了 BLISTER 系列中以前不存在的新功能,表明它正在不断开发。但是,恶意软件作者继续使用一种独特的技术,将恶意代码嵌入其他合法的应用程序中。这种方法表面上看起来很成功,因为如 VirusTotal 中所示,许多供应商的检测率都很低。大量良性代码和使用加密来保护恶意代码可能是影响检测的两个因素。
最近,Elastic 安全实验室在野外观察到许多新的 BLISTER 加载器。在分析了各种样本后,很明显恶意软件作者进行了一些更改,并且一直在密切关注杀毒软件行业。在 6 月初的一个 样本中,我们可以推断出作者正在使用一个非生产加载器进行测试,该加载器显示一个消息框,其中显示字符串“Test”。
读者可以在下面看到此功能的反汇编视图。
到 7 月底,我们观察到涉及新的 BLISTER 加载器的活动,该加载器旨在针对受害者组织部署 MYTHIC 植入。
在撰写本文时,Elastic 安全实验室正在看到大量的 BLISTER 样本,这些样本部署了 MYTHIC,并且检测率非常低。
对比分析
走私恶意代码
BLISTER 背后的作者采用一致的策略,将 BLISTER 的恶意代码嵌入合法库中。此加载器的最新变体已将 VLC 媒体播放器库作为目标,以将恶意软件走私到受害者环境中。这种良性和恶意代码的混合似乎可以有效地击败某些类型的机器学习模型。
以下是合法 VLC DLL 和感染了 BLISTER 代码的 DLL 之间的比较。在受感染的样本中,引用恶意代码的入口点已用红色标出。此方法类似于以前的 BLISTER 变体。
不同的哈希算法
自我们上次报告以来实施的更改之一是采用了不同的哈希算法,该算法用于 BLISTER 的核心部分和加载器部分。虽然以前的版本使用简单的逻辑来移动字节,但这个新版本包含一个带有 XOR 和乘法运算的硬编码种子。研究人员推测,更改哈希方法有助于逃避依赖 YARA 签名的反恶意软件产品。
配置检索
在 BLISTER 加载器解密恶意代码后,它会采用相同的内存扫描方法来识别配置数据 blob。这是通过搜索预先确定的硬编码内存模式来完成的。与早期版本的 BLISTER 相比,一个显着的对比在于,现在配置是与核心代码一起解密的,而不是被视为单独的实体。
环境密钥
BLISTER 的最新添加功能是仅在指定的计算机上执行的能力。此行为通过在恶意软件的配置中配置相应的标志来激活。随后,恶意软件使用 GetComputerNameExW Windows API 提取计算机的域名。在此之后,使用前面提到的算法对域名进行哈希处理,然后将生成的哈希与配置中存在的哈希进行比较。此功能据推测是为了有针对性的攻击或测试方案而部署的,以确保恶意软件不会感染恶意软件研究人员使用的意外系统。
能够快速暴露此行为的为数不多的恶意软件分析工具之一是 hasherezade 提供的超棒的 Tiny Tracer 实用程序。我们在下面包含了来自 Tiny_Tracer 的摘录,该摘录捕获了 BLISTER 进程在沙盒分析 VM 中执行 GetComputerNameExW 验证后立即终止的情况。
基于时间的防调试功能
与其前身类似,该恶意软件包含基于时间的防调试功能。但是,与计时器被硬编码的以前版本不同,更新后的版本在配置中引入了一个新字段。此字段允许自定义睡眠计时器,默认值为 10 分钟。此默认间隔与先前版本的 BLISTER 保持不变。
取消挂钩进程检测以检测系统调用
在此最新版本中,BLISTER 引入了值得注意的功能:它会取消挂钩任何正在进行的进程检测,这是一种策略,旨在绕过某些 EDR 解决方案所基于的用户态系统调用检测机制。
BLISTER 的配置
BLISTER 配置结构也已使用最新变体进行了更改。添加了两个新字段,偏移量 0 处的标志字段已从 WORD 更改为 DWORD 值。新字段与用于环境密钥的域的哈希和可配置的睡眠时间有关;这些字段值分别位于偏移量 4 和 12 处。以下是配置的更新结构
配置标志也进行了更改,允许操作员激活恶意软件内的不同功能。研究人员根据我们之前对 BLISTER 的研究,提供了一个更新的功能列表。
有效载荷提取器更新
在我们之前的研究报告中,我们介绍了一个高效的有效载荷提取器,专门用于剖析和提取加载程序的配置和有效载荷。为了剖析最新的 BLISTER 变体并捕获这些新细节,我们增强了我们的提取器,该提取器可在此处获取:这里。
结论
BLISTER 是全球网络犯罪生态系统的一小部分,它提供以经济利益为动机的威胁,以获取对受害者环境的访问权限并避免安全传感器的检测。社区应考虑这些新进展并评估 BLISTER 检测的有效性,Elastic Security Labs 将继续监控此威胁并分享可操作的指导。
检测逻辑
预防
检测
YARA
Elastic Security 已创建 YARA 规则 来识别此活动。以下是捕获 BLISTER 新更新的最新规则。
rule Windows_Trojan_Blister {
meta:
author = "Elastic Security"
creation_date = "2023-08-02"
last_modified = "2023-08-08"
os = "Windows"
arch = "x86"
category_type = "Trojan"
family = "Blister"
threat_name = "Windows.Trojan.Blister"
license = "Elastic License v2"
strings:
$b_loader_xor = { 48 8B C3 49 03 DC 83 E0 03 8A 44 05 48 [2-3] ?? 03 ?? 4D 2B ?? 75 }
$b_loader_virtual_protect = { 48 8D 45 50 41 ?? ?? ?? ?? 00 4C 8D ?? 04 4C 89 ?? ?? 41 B9 04 00 00 00 4C 89 ?? F0 4C 8D 45 58 48 89 44 24 20 48 8D 55 F0 }
condition:
all of them
}观察到的攻击者战术和技术
Elastic 使用 MITRE ATT&CK 框架来记录高级持续性威胁对企业网络使用的常见战术、技术和程序。
战术
战术代表技术或子技术的原因。 这是攻击者的战术目标:执行操作的原因。
技术/子技术
技术和子技术代表攻击者如何通过执行操作来实现战术目标。
参考
以上研究中引用了以下内容
可观测项
所有可观测项也可在 此处 下载,采用 ECS 和 STIX 格式的组合 zip 包。
本研究讨论了以下可观测项。
| 指示器 | 类型 | 参考 |
|---|---|---|
| 5fc79a4499bafa3a881778ef51ce29ef015ee58a587e3614702e69da304395db | sha256 | BLISTER 加载器 DLL |