Preámbulo
En un mundo acelerado y en constante cambio de amenazas de cibercrimen, la tenacidad y la adaptabilidad de los actores maliciosos es una preocupación importante. BLISTER, un cargador de malware inicialmente descubierto por Elastic Security Labs en 2021 y asociado con intrusiones motivadas financieramente, es un testimonio de esta tendencia a medida que continúa desarrollando capacidades adicionales. Dos años después de su descubrimiento inicial, BLISTER continúa recibiendo actualizaciones mientras vuela por debajo del radar, ganando impulso como una amenaza emergente. Hallazgos recientes de Palo Alto Unidad 42 describir un actualizado SUCGOLIS cadena de infección utilizada para distribuir BLISTER e implementar una carga útil desde MÍTICA, un marco de Comando y Control de código abierto ( C2 ).
Principales conclusiones
- Elastic Security Labs ha estado monitoreando el cargador de malware BLISTER aumentando con nuevos cambios y un desarrollo continuo con signos de actividad de amenaza inminente
- La nueva actualización de BLISTER incluye una función de codificación que permite la orientación precisa de las redes de víctimas y reduce la exposición dentro de los entornos de VM / caja de arena
- BLISTER ahora integra técnicas para eliminar cualquier gancho de instrumentación de proceso y ha modificado su configuración con múltiples revisiones, que ahora abarcan campos y banderas adicionales.
Resumen
Nuestra investigación descubrió una nueva funcionalidad que anteriormente estaba ausente dentro de la familia BLISTER, lo que indica un desarrollo continuo. Sin embargo, los autores de malware continúan utilizando una técnica distintiva de incrustar código malicioso en aplicaciones legítimas. Este enfoque parece superficialmente exitoso, dadas las bajas tasas de detección para muchos proveedores como se ve en VirusTotal. La cantidad significativa de código benigno y el uso de cifrado para proteger el código malicioso son probablemente dos factores que afectan la detección.
Recientemente, Elastic Security Labs ha observado muchos cargadores BLISTER nuevos en la naturaleza. Después de analizar varias muestras, está claro que los autores de malware han realizado algunos cambios y han estado observando de cerca a la industria antivirus. En uno muestra desde principios de junio, podemos inferir que los autores estaban probando con un cargador que no es de producción que muestra un cuadro de mensaje que muestra las cadenas “ Prueba ”.
Los lectores pueden ver una vista desmontada de esta funcionalidad a continuación.
A fines de julio, observamos campañas que involucraban un nuevo cargador BLISTER que apuntaba a las organizaciones de víctimas para desplegar el implante MÍTICO.
Al momento de escribir este artículo, Elastic Security Labs está viendo un flujo de muestras BLISTER que implementan MYTHIC y tienen tasas de detección muy bajas.
Análisis comparativos
Contrabando de código malicioso
Los autores detrás de BLISTER emplean una estrategia consistente de incrustar el código malicioso de BLISTER dentro de una biblioteca legítima. Las variantes más recientes de este cargador se han dirigido a VLC Biblioteca de Media Player para pasar de contrabando su malware a entornos de víctimas. Esta combinación de código benigno y malicioso parece efectiva para derrotar algunos tipos de modelos de aprendizaje automático.
La siguiente es una comparación entre una DLL VLC legítima y una que está infectada con el código de BLISTER. En la muestra infectada, el punto de entrada que hace referencia al código malicioso se ha indicado en rojo. Esta metodología es similar a las variantes anteriores de BLISTER.
Algoritmo hash diferente
Uno de los cambios implementados desde nuestro último escribir es la adopción de un algoritmo hash diferente utilizado en el núcleo y en la parte cargadora de BLISTER. Si bien la versión anterior usaba una lógica simple para cambiar bytes, esta nueva versión incluye una semilla codificada con XOR y operaciones de multiplicación. Los investigadores especulan que cambiar el enfoque de hash ayuda a evadir los productos antimalware que dependen de las firmas YARA.
Recuperación de configuración
Después del descifrado del código malicioso por el cargador BLISTER’d, emplea un método de escaneo de memoria idéntico para identificar el blob de datos de configuración. Esto se logra buscando un patrón de memoria predeterminado y codificado. Un contraste notable de la iteración anterior de BLISTER radica en el hecho de que la configuración ahora se descifra junto con el código central, en lugar de ser tratada como una entidad separada.
Llavado ambiental
Una adición reciente a BLISTER es la capacidad de ejecutar exclusivamente en máquinas designadas. Este comportamiento se activa configurando el indicador apropiado dentro de la configuración del malware. Posteriormente, el malware procede a extraer el nombre de dominio de la máquina utilizando el GetComputerNameExW API de Windows. Después de esto, el nombre de dominio se hash usando el algoritmo mencionado anteriormente, y el hash resultante se compara con un hash presente en la configuración. Esta funcionalidad se implementa presumiblemente con el propósito de ataques dirigidos o para escenarios de prueba, asegurando que el malware se abstenga de infectar sistemas no deseados como los empleados por investigadores de malware.
Una de las pocas herramientas de análisis de malware capaces de exponer rápidamente este comportamiento es increíble Pequeño trazador utilidad por hasherezade. Hemos incluido un extracto de Tiny_Tracer a continuación que captura el proceso BLISTER que termina inmediatamente después de GetComputerNameExW la validación se realiza en un análisis de sandboxed VM.
Característica antidefugación basada en el tiempo
Similar a sus predecesores, el malware incorpora una funcionalidad antidefugging basada en el tiempo. Sin embargo, a diferencia de las versiones anteriores en las que el temporizador estaba codificado, la versión actualizada introduce un nuevo campo en la configuración. Este campo permite la personalización del temporizador de suspensión, con un valor predeterminado de 10 minutos. Este intervalo predeterminado permanece sin cambios desde iteraciones previas de BLISTER.
Desenganche la instrumentación del proceso para detectar syscalls
En esta última versión, BLISTER presenta una funcionalidad notable: desengancha cualquier instrumentación de proceso en curso, un táctica diseñado para eludir los mecanismos de detección de syscall de userland en los que se basan ciertas soluciones EDR.
Configuración de BLISTER
La estructura de configuración BLISTER también se ha cambiado con las últimas variantes. Se han agregado dos nuevos campos y el campo de bandera en el desplazamiento 0 se ha cambiado de un valor WORD a un valor DWORD. Los nuevos campos pertenecen al hash del dominio para la codificación ambiental y el tiempo de suspensión configurable; Estos valores de campo están en el desplazamiento 4 y 12 respectivamente. La siguiente es la estructura actualizada de la configuración:
También se han realizado cambios en los indicadores de configuración, lo que permite al operador activar diferentes funciones dentro del malware. Los investigadores han proporcionado una lista actualizada de funciones basadas en nuestra investigación previa en BLISTER.
Actualización del extractor de carga útil
En nuestra publicación de investigación anterior, presentamos un extractor de carga útil eficiente diseñado para diseccionar y extraer la configuración y la carga útil del cargador. Para diseccionar las variantes BLISTER más recientes y capturar estos nuevos detalles, mejoramos nuestro extractor que está disponible aquí.
Conclusión
BLISTER es una pequeña parte del ecosistema global de cibercrimen, que proporciona amenazas motivadas financieramente para obtener acceso a entornos de víctimas y evitar la detección por parte de sensores de seguridad. La comunidad debe considerar estos nuevos desarrollos y evaluar la eficacia de las detecciones BLISTER, Elastic Security Labs continuará monitoreando esta amenaza y compartiendo una guía procesable.
