Come gli attori delle minacce sfruttano i certificati EV

I registri di chat interni trapelati rivelano una strategia coordinata in cui Black Basta utilizza i certificati Extended Validation (EV) per firmare i file dannosi. Questa tattica sfrutta la maggiore fiducia tipicamente associata alle applicazioni con firma EV. Le organizzazioni che si affidano alla sola fiducia basata sulle firme diventano vulnerabili, poiché questi file binari certificati sfuggono facilmente ai meccanismi di scansione convenzionali. Le conversazioni illustrano in dettaglio come gli aggressori acquisiscono, gestiscono e automatizzano il processo di elusione del rilevamento mediante la firma del malware, sottolineando il grado di disciplina organizzativa alla base delle operazioni dei gruppi di ransomware.

Cosa sono i certificati EV e come li ha ottenuti Black Basta

I certificati Extended Validation (EV) sono certificati digitali speciali che mostrano un alto livello di fiducia in un'applicazione o in un sito web. L'autorità di certificazione (CA) emittente effettua controlli supplementari sull'azienda o sulla persona che richiede il certificato, assicurandosi che sia davvero chi dice di essere. In pratica, gli utenti e molte soluzioni di sicurezza si fidano maggiormente del software con firma EV perché è "verificato" da un'autorità ufficiale..

‍

‍

Mentre alcuni attori delle minacce sono noti per impersonare aziende chiuse, i registri confermano che Black Basta o..:

1. Certificati EV acquistati direttamente

BlackBasta ha acquistato certificati EV per 4.000-4.500 dollari da forum o broker clandestini.

"по $4000 каждый" ("$4000 ciascuno")

"таких у нас еще не было" ("non ne abbiamo mai avuti di simili")

"сейчас возьму пару штук про запас" ("Ne prendo un paio in più per sicurezza")

"скидоссс))" ("ho ottenuto uno sconto haha")

Questi messaggi erano in genere abbinati a file .rar contenenti certificati EV, spesso etichettati con nomi di aziende (ad esempio, EV56wallfort[SSL.com].rar, EV4Avikser-llc2023-10-27[GlobalSign].rar).

Si sono anche collegati a piattaforme di hosting come: https://send[.]exploit[.]in/download/... https://transfer[.]sh/... Questi ospitavano i pacchetti di certificati rubati/fraudolenti.

2. Infrastrutture di firma remota compromesse

Il gruppo ha utilizzato gli strumenti VirtualHere e YubiKey Minidriver per accedere da remoto ai token EV che erano fisicamente inseriti in un sistema compromesso.

**"È necessario il Token17, fare doppio clic per connettersi. Password: ******. Il PIN del token è 123456" "Eseguire certmgr.msc e verificare se il certificato è stato aggiunto" "Firmare i file con signtool.exe"

‍

‍

In una chat critica, un utente dichiara:

"я переезжаю с той рдп - она в блеках" "Mi allontano da quell'RDP: è nella lista nera".

Si riferisce a un server RDP che in precedenza ospitava un'infrastruttura di firma sensibile (probabilmente token EV) e che è stato inserito nella lista nera. Questi token sono tipicamente memorizzati su hardware (ad esempio, YubiKeys), ma erano accessibili e utilizzati in remoto tramite strumenti come VirtualHere e signtool.exe, come descritto in altri messaggi. Ciò implica che il certificato EV non è stato acquistato anonimamente, ma è stato rubato a un'azienda o a uno sviluppatore reale, probabilmente attraverso la compromissione di RDP.

Le conversazioni di Black Basta trapelate identificano due specifiche autorità di certificazione EV (emittenti) che sono state abusate per la firma di malware : SSL.com e GlobalSign.

Flusso di lavoro operativo EV di Black Basta

I file MSI (Windows Installer) e VBS (Visual Basic scripts) sono stati utilizzati come vettori di infezione iniziali. Questi loader rilasciavano o lanciavano il payload malware vero e proprio (ad esempio, ransomware, PikaBot, Cobalt Strike). La firma con un certificato EV ha ridotto la possibilità che i filtri e-mail, gli antivirus o Windows SmartScreen li blocchino.

Una volta in possesso dei certificati EV, gli aggressori:

• Firmare i payload solo dopo la crittografia per evitare errori di hash.
• Ci siamo avvisati a vicenda di non alterare i file dopo la firma, in quanto ciò invalida la firma EV.
• Ha utilizzato questi certificati per firmare gli installatori di PikaBot reimballati, i caricatori MSI e VBS e altri stub malware . Le conversazioni rivelano istruzioni dettagliate utilizzate dagli affiliati di Black Basta per firmare il loro malware con certificati EV, sia per i certificati basati su .pfx che per i certificati EV basati su token hardware (ad esempio, YubiKey). Di seguito sono riportati l'esatta procedura di firma e l'utilizzo della riga di comando:

Firma con i certificati EV basati su .pfx

Requisiti degli utensili

• Microsoft Windows SDK (che fornisce signtool.exe)
• File di certificato .pfx valido e password Esempio di script di firma (sign.cmd)

Esempio di script di firma (sign.cmd)

@echo off
set SIGNTOOL="C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x64\signtool.exe"
impostare CERT=cert.pfx
impostare PASSWORD=********
imposta FILE=calc.exe
impostare TIMESTAMP=http://timestamp.digicert.com

%SIGNTOOL%sign /f %CERT% /p %PASSWORD% /fd SHA256 /tr %TIMESTAMP% %FILE%

Questo script assicura che il binario sia marcato temporalmente, impedendo l'invalidazione della firma dopo la scadenza del certificato. Gli attaccanti firmano solo dopo la crittografia per mantenere l'integrità della firma. Qualsiasi modifica del binario dopo la firma invalida il marchio EV.

Certificati EV basati su token hardware (YubiKey e VirtualHere)

Configurazione dell'accesso remoto

• Gli aggressori installano VirtualHere sia sul lato client che su quello server per inoltrare la connessione del token USB attraverso una sessione RDP.
• YubiKey Smartcard Minidriver viene caricato sul computer remoto, consentendo a Windows di riconoscere il certificato in certmgr.msc.

Comando di firma

signtool.exe sign /sha1 <certificate_thumbprint> /tr http://timestamp.digicert.com /td SHA256 /fd SHA256 <payload.exe>

L'impronta del certificato si ottiene tramite le proprietà del certificato di Windows o certmgr.msc. Gli aggressori evidenziano che la modifica del binario dopo la firma distrugge la validità della firma EV, quindi firmano rigorosamente per ultimi.

Ulteriori approfondimenti sul processo Black Basta EV

• Alcuni affiliati hanno creato script di automazione per firmare in blocco più file utilizzando modelli sign.cmd predefiniti.
• I registri di chat indicano che più certificati EV erano archiviati in un repository centrale. Un evento documentato di "guasto dell'archiviazione" ha causato scompiglio perché "tutte le nostre chiavi" risiedevano su un unico VDS compromesso.
• I riferimenti ad alcuni archivi (file .rar) contenenti certificati EV (ad esempio, EV56wallfort[SSL.com].rar) confermano la pratica del gruppo di conservare più certificati per l'uso su richiesta.
• Il gruppo ha osservato sistematicamente i certificati revocati, passando rapidamente a un nuovo certificato EV quando il rilevamento è emerso o quando l'autorità di firma ha bloccato la credenziale rubata.

Cosa significa questo per la vostra azienda?

Quando malware si presenta con il distintivo di un'azienda affidabile (tramite un certificato EV), è come un criminale con una convincente uniforme della polizia. Molti controlli automatici potrebbero inizialmente lasciarlo entrare. Questo erode l'affidabilità dei certificati digitali, rende più difficile individuare il malware e può portare a danni molto concreti, come il ransomware che cripta i dati di un'organizzazione o gli aggressori che rubano le informazioni.

Se i vostri sistemi si affidano esclusivamente a liste di protezione basate sulle firme o si fidano solo del codice con firma EV, siete a rischio. Il malware con firma EV inizialmente elude la maggior parte dei controlli convenzionali e lo scetticismo degli utenti.

La strategia "socks bots" degli aggressori complica anche il rilevamento o il blocco basato sull'IP. Anche se un nodo viene chiuso, possono passare a un nuovo nodo proxy e mantenere una distribuzione continua.

Cosa fare per difendersi dagli exploit dei certificati EV?

I certificati EV rubati in possesso degli attori delle minacce fungono da potente strumento di camuffamento, aumentando il tasso di successo delle loro infezioni. I registri delle chat di Black Bastaconfermano uno schema ricorrente: una volta aumentate le soglie di rilevamento per un determinato payload, il gruppo lo modifica e lo firma nuovamente con un altro certificato EV, perpetuando un ciclo di distribuzione di file dannosi ad alto volume. Questo approccio sistematico sfrutta le vulnerabilità nel modo in cui molti controlli di sicurezza interpretano il codice firmato, rendendo cruciale l'implementazione di strategie di difesa più avanzate e incentrate sul comportamento.

Gli strumenti che guardano oltre la firma e osservano i comportamenti sospetti sono la migliore difesa. Anche se un file ha una firma apparentemente legittima, un prodotto come Vectra AI Platform può segnalare azioni anomale all'interno della rete. Combinandolo con la vostra soluzione di rilevamento e risposta endpoint (EDR) esistente, potrete isolare o contenere rapidamente gli eseguibili sospetti e impedirne la diffusione, anche se dotati di firma EV.

Volete vedere Vectra AI in azione? Richiedete una demo oggi stesso!