- Adım
- Öznur
- Cihaz
- iPhone 11
- Katılım
- 13 Haz 2018
- Konular
- 1,118
- Mesajlar
- 5,316
- Çözümler
- 16
- Tepkime puanı
- 4,681
- Puanları
- 3,089
- Yaş
- 40
- Konum
- Türkiye
Siber güvenlik araştırmacıları, güvenliği ihlal edilmiş sistemlerde Cobalt Strike ve BitRAT yüklerini dağıtmak amacıyla güvenlik savunmalarını gizlice geçmek ve radarın altında kalmak için geçerli kod imzalama sertifikalarından yararlanan bir kötü amaçlı yazılım kampanyasının ayrıntılarını açıkladılar.
Bir yükleyici olan ikili dosya, Elastic Security'den araştırmacılar tarafından "Blister" olarak adlandırıldı ve kötü amaçlı yazılım örnekleri VirusTotal'da ihmal edilebilir ila sıfır algılamaya sahip. Saldırıyı gerçekleştirmek için kullanılan enfeksiyon vektörü ve izinsiz girişin nihai hedefleri henüz bilinmiyor.
Saldırıların dikkate değer bir yönü, Sectigo tarafından verilen geçerli bir kod imzalama sertifikasından yararlanmalarıdır. Kötü amaçlı yazılımın, 15 Eylül 2021 tarihli söz konusu sertifikayla imzalandığı gözlemlendi. Elastic, kötüye kullanılan sertifikaların iptal edilmesini sağlamak için şirkete ulaştığını söyledi.
Araştırmacılar Joe Desimone ve Samir Bousseaden, "Geçerli kod imzalama sertifikalarına sahip ürütülebilir dosyalar, genellikle imzasız yürütülebilir dosyalardan daha az derecede incelenir.
Kullanımları, saldırganların radarın altında kalmasına ve daha uzun süre tespitten kaçmasına izin veriyor." dedi.
Blister, "colorui.dll" adlı yasal bir kitaplık gibi görünür ve "dxpo8umrzrr1w6gm.exe" adlı bir dropper aracılığıyla teslim edilir.
Yürütme sonrasında, yükleyici, muhtemelen korumalı alan analizinden kaçma girişiminde bulunarak, yalnızca kalıcılık kurarak ve Cobalt Strike veya BitRAT gibi yerleşik bir kötü amaçlı yazılım yükünün şifresini çözerek takip etmek için 10 dakika uyuyacak şekilde tasarlanmıştır.
Araştırmacılar, "Şifresi çözüldüğünde, gömülü yük mevcut işleme yüklenir veya yeni oluşturulan WerFault.exe [Windows Error Reporting] işlemine enjekte edilir" dedi.
Bir yükleyici olan ikili dosya, Elastic Security'den araştırmacılar tarafından "Blister" olarak adlandırıldı ve kötü amaçlı yazılım örnekleri VirusTotal'da ihmal edilebilir ila sıfır algılamaya sahip. Saldırıyı gerçekleştirmek için kullanılan enfeksiyon vektörü ve izinsiz girişin nihai hedefleri henüz bilinmiyor.
Saldırıların dikkate değer bir yönü, Sectigo tarafından verilen geçerli bir kod imzalama sertifikasından yararlanmalarıdır. Kötü amaçlı yazılımın, 15 Eylül 2021 tarihli söz konusu sertifikayla imzalandığı gözlemlendi. Elastic, kötüye kullanılan sertifikaların iptal edilmesini sağlamak için şirkete ulaştığını söyledi.
Araştırmacılar Joe Desimone ve Samir Bousseaden, "Geçerli kod imzalama sertifikalarına sahip ürütülebilir dosyalar, genellikle imzasız yürütülebilir dosyalardan daha az derecede incelenir.
Kullanımları, saldırganların radarın altında kalmasına ve daha uzun süre tespitten kaçmasına izin veriyor." dedi.
Blister, "colorui.dll" adlı yasal bir kitaplık gibi görünür ve "dxpo8umrzrr1w6gm.exe" adlı bir dropper aracılığıyla teslim edilir.
Yürütme sonrasında, yükleyici, muhtemelen korumalı alan analizinden kaçma girişiminde bulunarak, yalnızca kalıcılık kurarak ve Cobalt Strike veya BitRAT gibi yerleşik bir kötü amaçlı yazılım yükünün şifresini çözerek takip etmek için 10 dakika uyuyacak şekilde tasarlanmıştır.
Araştırmacılar, "Şifresi çözüldüğünde, gömülü yük mevcut işleme yüklenir veya yeni oluşturulan WerFault.exe [Windows Error Reporting] işlemine enjekte edilir" dedi.
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.