新恶意程序利用合法凭证冒充Windows执行文件流传

technews • 2023年9月20日 13:07 • 投稿

合法凭证再传被恶意程序滥用。资安厂商发现一只新型恶意程序使用被窃的合法凭证、躲过Windows验证感染用户电脑。

安全厂商Elastic Security于8月发现一只恶意程式Blister，它是一只下载器（loader）目的在加载之后的攻击程序。目前研究人员还不清楚的目的，但是它能在不引发VirusTotal上防毒引擎警示情况下在网络流传这点，却十分值得关注。

分析显示，Blister背后的黑客使用了多项隐匿手法而得以不被发现。在用户执行后，它会嵌入合法库（如color.rui.dll），并以rundll32指令以高权限执行，在Blister写入暂存档。它先以暂时休眠手法躲过沙盒分析，再解密出内含的攻击程序，包括CobaltStrike 和 BitRat，这些程序常被用来远程存取或在用户网络上横向移动。此外，Blister也写入C：\ProgramData文件夹以长期潜伏、并另存成rundll32.exe. 冒名档案，同时在启动（Startup）文件夹建立链接，以便每次开机登入就执行一次恶意程序。

但它另一项隐匿手法让自己成功躲过Windows验证、以及众多防毒引擎的侦测。研究人员发现它使用了数字认证技术提供商Sectigo派发给一家名为Blist的公司的代码签名凭证，这公司使用的是俄罗斯ISP代管的邮件信箱，显然是该公司的合法凭证遭窃被用来签发恶意程序。

研究人员于是通知了Sectigo取消这凭证。同时安全公司也建立了识别Blister的YARA规则，并分享入侵指标（indicators of compromise， IoC）供企业使用。

这是今年被发现滥用合法签章来入侵Windows电脑的最新例子。今年9月及10月，分别有OpenSUdpater垃圾软件及恶意rootkit FiveSys以合法凭证签章感染Windows用户，以安装银行木马或勒索软件，及窃取受害者登入凭证及财产。其中FiveSys rootkit甚至还取得了微软签章。