Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso
Briefing sulle minacce

Come gli autori delle minacce utilizzano i certificati EV come arma

1 aprile 2025
Lucie Cardiet
Responsabile della ricerca sulle minacce informatiche
Come gli autori delle minacce utilizzano i certificati EV come arma

Le chat interne trapelate rivelano una strategia coordinata in cui Black Basta utilizzano certificati Extended Validation (EV) per firmare file dannosi. Questa tattica sfrutta la maggiore fiducia tipicamente associata alle applicazioni firmate con EV. Le organizzazioni che si affidano esclusivamente alla fiducia basata sulla firma diventano vulnerabili, poiché questi file binari certificati sfuggono facilmente ai meccanismi di scansione convenzionali. Le conversazioni descrivono in dettaglio come gli aggressori acquisiscono, gestiscono e automatizzano il processo di elusione del rilevamento firmando malware, sottolineando il grado di disciplina organizzativa che sta dietro alle operazioni dei gruppi di ransomware.

Cosa sono i certificati EV e come li ha Black Basta

I certificati Extended Validation (EV) sono certificati digitali speciali che dimostrano un elevato livello di affidabilità di un'applicazione o di un sito web. L'autorità di certificazione (CA) che li rilascia effettua ulteriori controlli sull'azienda o sulla persona che richiede il certificato, assicurandosi che siano realmente chi dicono di essere. In pratica, gli utenti e molte soluzioni di sicurezza si fidano maggiormente dei software firmati EV perché sono "verificati" da un'autorità ufficiale.

Esempio di certificato con convalida estesa rilasciato da Global Sign

Sebbene alcuni autori delle minacce siano noti per impersonare società chiuse, i registri confermano che Black Basta :

1. Certificati EV acquistati direttamente

BlackBasta ha acquistato certificati EV per un valore compreso tra 4.000 e 4.500 dollari da forum clandestini o broker.

"по $4000 каждый" ("4000 dollari ciascuno")
"таких у нас еще не было" ("non ne abbiamo mai avuti di simili prima d'ora")
"сейчас возьму пару штук про запас" ("Ne prenderò un paio in più, non si sa mai")
"скидоссссс)))" ("ho ottenuto uno sconto, ahah")

Questi messaggi erano solitamente accompagnati da file .rar contenenti certificati EV, spesso contrassegnati con nomi di aziende (ad esempio, EV56wallfort[SSL.com].rar, EV4Avikser-llc2023-10-27[GlobalSign].rar).

Hanno anche collegato piattaforme di hosting come: https://send[.]exploit[.]in/download/... https://transfer[.]sh/... Queste ospitavano i pacchetti di certificati effettivamente rubati/ottenuti in modo fraudolento.

2. Infrastrutture di firma remota compromesse

Il gruppo ha utilizzato gli strumenti VirtualHere e YubiKey Minidriver per accedere in remoto ai token EV che erano fisicamente collegati al dispositivo compromesso.

**"È necessario Token17, fare doppio clic per connettersi. Password: ******. Il PIN del token è 123456" "Eseguire certmgr.msc e verificare che il certificato sia stato aggiunto" "Firmare i file con signtool.exe"

Minidriver Yubikey

In una chat critica, un utente afferma:

"я переезжаю с той рдп – она в блеках" "Mi trasferisco da quella RDP – è nella lista nera."

Si riferisce a un server RDP che in precedenza ospitava un'infrastruttura di firma sensibile (probabilmente token EV) e che è stato inserito nella lista nera. Questi token sono in genere memorizzati su hardware (ad esempio, YubiKeys), ma sono stati accessibili e utilizzati in remoto tramite strumenti come VirtualHere e signtool.exe, come descritto in altri messaggi. Ciò implica che il certificato EV non è stato acquistato in modo anonimo, ma è stato rubato da un'azienda o da uno sviluppatore reale, probabilmente tramite compromissione RDP.

Black Basta trapelate Black Basta identificano due autorità di certificazione EV (emittenti) specifiche che sono state utilizzate in modo improprio per malware : SSL.com e GlobalSign.

Flusso di lavoro operativo EV Black Basta

MSI (file Windows Installer) e VBS (script Visual Basic) sono stati utilizzati come vettori di infezione iniziali. Questi loader hanno rilasciato o lanciato il malware effettivo (ad esempio ransomware, PikaBot, Cobalt Strike). La firma con un certificato EV ha ridotto la possibilità che i filtri e-mail, gli antivirus o Windows SmartScreen li bloccassero.

Una volta in possesso dei certificati EV, gli aggressori:

  • Carichi utili firmati solo dopo la crittografia per evitare discrepanze nell'hash.
  • Si sono avvertiti a vicenda di non modificare i file dopo la firma, poiché ciò invalida la firma EV.
  • Questi certificati sono stati utilizzati per firmare installer PikaBot riconfezionati, caricatori MSI e VBS e altri malware . Le conversazioni rivelano istruzioni dettagliate utilizzate dagli Black Basta per firmare malware loro malware certificati EV, sia per certificati basati su .pfx che per certificati EV basati su token hardware (ad esempio YubiKey). Di seguito è riportata la procedura di firma esatta estratta e l'utilizzo della riga di comando:

Firma con certificati EV basati su .pfx

Requisiti degli utensili

  • Microsoft Windows SDK (che fornisce signtool.exe)
  • File di certificato .pfx valido più password Esempio di script di firma (sign.cmd)

Esempio di script di firma (sign.cmd)

@echooff
set SIGNTOOL="C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x64\signtool.exe"
set CERT=cert.pfx
set PASSWORD=********
set FILE=calc.exe
set TIMESTAMP=http://timestamp.digicert.com
 %SIGNTOOL% sign /f %CERT% /p %PASSWORD% /fd SHA256 /tr %TIMESTAMP% %FILE%

Questo script garantisce che il file binario sia contrassegnato con data e ora, impedendo l'invalidazione della firma dopo la scadenza del certificato. Gli aggressori firmano solo dopo la crittografia per mantenere l'integrità della firma. Qualsiasi modifica al file binario dopo la firma invalida il marchio EV.

Certificati EV basati su token hardware (YubiKey e VirtualHere)

Configurazione dell'accesso remoto

  • Gli aggressori installano VirtualHere sia sul lato client che sul lato server per inoltrare la connessione del token USB attraverso una sessione RDP.
  • Il minidriver della smartcard YubiKey viene caricato sul computer remoto, consentendo a Windows di riconoscere il certificato in certmgr.msc.

Comando di firma

signtool.exe sign /sha1 <certificate_thumbprint> /tr http://timestamp.digicert.com /td SHA256 /fd SHA256 <payload.exe>

L'impronta digitale del certificato viene ottenuta tramite le proprietà del certificato Windows o certmgr.msc. Gli aggressori sottolineano che la modifica del file binario dopo la firma compromette la validità della firma EV, pertanto effettuano la firma solo alla fine.

Ulteriori approfondimenti sul processo Black Basta

  • Alcuni affiliati hanno creato script di automazione per firmare in blocco più file utilizzando modelli sign.cmd predefiniti.
  • I registri delle chat indicano che più certificati EV erano archiviati in un repository centrale. Un evento documentato di "errore di archiviazione" ha causato scompiglio perché "tutte le nostre chiavi" risiedevano su un unico VDS compromesso.
  • I riferimenti a determinati archivi (file .rar) contenenti certificati EV (ad esempio, EV56wallfort[SSL.com].rar) confermano la pratica del gruppo di conservare più certificati per un utilizzo su richiesta.
  • Il gruppo monitorava sistematicamente i certificati revocati, passando rapidamente a un nuovo certificato EV quando veniva rilevata una violazione o quando l'autorità di firma bloccava le credenziali rubate.

Cosa significa questo per la tua azienda?

Quando malware con il marchio di un'azienda affidabile (tramite un certificato EV), è come un criminale che indossa un'uniforme della polizia convincente. Molti controlli automatici potrebbero inizialmente lasciarlo passare. Ciò compromette l'affidabilità dei certificati digitali, rende più difficile individuare malware e può causare danni molto reali, come il ransomware che crittografa i dati di un'organizzazione o gli aggressori che rubano informazioni.

Se i vostri sistemi si basano esclusivamente su liste di autorizzazione basate su firme o si fidano solo di codice firmato EV, siete a rischio. malware firmato EV malware aggira la maggior parte dei controlli convenzionali e lo scetticismo degli utenti.

La strategia dei "socks bot" degli aggressori complica anche il rilevamento o il blocco basato sull'IP. Anche se un nodo viene chiuso, possono passare a un nuovo nodo proxy e mantenere una distribuzione continua.

Cosa dovresti fare per difenderti dagli exploit dei certificati EV?

I certificati EV rubati in possesso degli autori delle minacce fungono da potente strumento di camuffamento, aumentando il tasso di successo delle loro infezioni. I log delle chat Black Bastaconfermano un modello ricorrente: una volta che le soglie di rilevamento aumentano per un determinato payload, il gruppo lo modifica e lo firma nuovamente con un altro certificato EV, perpetuando un ciclo ad alto volume di distribuzione di file dannosi. Questo approccio sistematico sfrutta le vulnerabilità nel modo in cui molti controlli di sicurezza interpretano il codice firmato, rendendo fondamentale l'implementazione di strategie di difesa più avanzate e incentrate sul comportamento.

Gli strumenti che vanno oltre la firma e monitorano i comportamenti sospetti sono la vostra migliore difesa. Anche se un file ha una firma apparentemente legittima, un prodotto come la Vectra AI è in grado di segnalare azioni anomale all'interno della vostra rete. Combinandolo con la vostra soluzione endpoint e risposta endpoint (EDR) esistente, potrete isolare o contenere rapidamente gli eseguibili sospetti e impedirne la diffusione, anche se sono firmati con EV.

Vuoi vedere Vectra AI azione? Richiedi una demo oggi stesso!

---

Domande frequenti