資安研究人員發現,駭客使用有效程式碼簽章憑證簽署其所利用之BLISTER惡意程式,偽裝成合法可執行檔,用以規避資安防護機制。
過去駭客是先從合法公司竊取憑證,再簽署其所利用之惡意程式,但現在駭客會先入侵公司,再用合法公司之資料申請有效程式碼簽章憑證,然後簽署其所利用之惡意程式。
駭客使用之程式碼簽章憑證是由合法Sectigo憑證公司所發行,發給Blist LLC公司,發行日期為2021年8月23日,有效日期為2022年8月24日。比起未具有程式碼簽章憑證簽署之執行檔,資安防護機制對具有有效程式碼簽章憑證簽署之執行檔,資安檢測程度相對較寬鬆,駭客利用此一特性來規避資安防護機制。
BLISTER惡意程式除使用有效程式碼簽章規避檢測之外,也會將惡意程式嵌入合法程式庫以躲過機器學習型式之資安防護機制,同時亦利用無檔案執行手法,增加攻擊成功機會。
https://cybersecuritynews.com/blister-malware
https://www.elastic.co/blog/elastic-security-uncovers-blister-malware-campaign
https://www.bleepingcomputer.com/news/security/stealthy-blister-malware-slips-in-unnoticed-on-windows-systems