BlankGrabber: νέο στάδιο απόκρυψης με ψευδο‑πιστοποιητικό

Μια σύντομη περίληψη της νέας τεχνικής

Μια πρόσφατη έρευνα από την ομάδα Threat Research του Splunk περιγράφει πώς οι χειριστές του κωδικού κλοπής δεδομένων BlankGrabber έχουν εξελίξει την αλυσίδα μόλυνσης για να γίνουν πιο δύσκολα ανιχνεύσιμοι σε Windows περιβάλλοντα. Αντί να παραδίδουν απευθείας ένα εκτελέσιμο ή ένα script, το νέο κόλπο χρησιμοποιεί ένα «ψευδο‑πιστοποιητικό» — ένα κωδικοποιημένο blob που φαίνεται να εγκαθίσταται μέσω του εργαλείου certutil.exe, αλλά στην πραγματικότητα περιέχει ένα compiled Rust stager. Η προσέγγιση αυτή συνδυάζει native binary, ενσωματωμένα Python bundles (μέσω PyInstaller) και exfiltration μέσω Telegram και δημόσιων υπηρεσιών, δημιουργώντας πολλαπλά επίπεδα απόκρυψης και ανίχνευσης.

Γιατί το ψευδο‑πιστοποιητικό είναι πιο αντιπαραβαλλόμενο από το κλασικό malware

Τα εργαλεία όπως το certutil.exe είναι νόμιμα και εγκατεστημένα σε κάθε Windows μηχάνημα, και γι’ αυτό χρησιμοποιούνται συχνά σε «living off the land» επιθέσεις. Ουσιαστικά το σενάριο φαίνεται αθώο σε έναν αρχικό έλεγχο: ένα script αποκωδικοποιεί δεδομένα και καλεί το certutil για να τα «εγκαταστήσει» ως πιστοποιητικό. Όμως το αποκωδικοποιημένο αποτέλεσμα δεν είναι πιστοποιητικό· είναι ένα compiled Rust εκτελέσιμο το οποίο ενεργοποιεί την υπόλοιπη αλυσίδα. Η χρήση native κώδικα ως stager αυξάνει την δυσκολία ανάλυσης, γιατί προκαλείται λιγότερη ορατότητα σε εργαλεία που στοχεύουν αποκλειστικά σε script‑based απειλές.

Πώς ξεκινάει η επίθεση στην πράξη

Σύμφωνα με την ανάλυση, οι εκστρατείες ξεκινούν από ένα batch script που φιλοξενείται σε υπηρεσίες κοινής χρήσης αρχείων όπως το Gofile. Το script περιέχει ένα κωδικοποιημένο blob και χρησιμοποιεί το certutil για να το αποκωδικοποιήσει. Η πρώτη εντύπωση για έναν επιθεωρητή είναι ότι έγινε προσπάθεια εγκατάστασης ενός πιστοποιητικού, όμως ο αποδέκτης του blob είναι ένα native stager γραμμένο σε Rust, το οποίο στη συνέχεια δεσμεύει την μνήμη, αποκρυπτογραφεί και εκτελεί το επόμενο στάδιο χωρίς να γράψει άμεσα σαφή εκτελέσιμα σε εμφανείς διαδρομές.

Πολυεπίπεδη απόκρυψη μέσα στη μνήμη

Ο Rust stager λειτουργεί ως ενδιάμεσος, προσθέτοντας επιπλέον επίπεδα απόκρυψης: παρουσιάζεται ως δεδομένα πιστοποιητικού, αποκωδικοποιεί και αποκαλύπτει την επόμενη φάση μόνο μέσα στη μνήμη και εκτελεί έλεγχο περιβάλλοντος (anti‑sandbox) προτού προχωρήσει. Οι έλεγχοι αυτοί περιλαμβάνουν αναζητήσεις για γνωστές ονομασίες VM ή sandbox μηχανών όπως «Triage», «Sandbox», «Malware» ή «Zenbox», καταγραφές προγραμμάτων οδήγησης που υποδηλώνουν εικονικοποίηση, καθώς και έλεγχο χρηστών και ονομάτων υπολογιστών. Αν η συσκευή φαίνεται «πραγματική», το stager αποσυμπιέζει ένα self‑extracting RAR (SFX) στο %TEMP% με τίτλους που μοιάζουν αβλαβείς — π.χ. OneDriveUpdateHelper.exe, RuntimeBroker.exe ή MicrosoftEdgeUpdate.exe.

Συνδυασμός RAT και stealer σε ένα αρχείο

Το SFX περιέχει πολλαπλά συστατικά: μεταξύ άλλων, έναν remote‑access client XWorm (host.exe) και ένα PyInstaller‑συσκευασμένο BlankGrabber stealer (Knock.exe). Αυτή η συσχέτιση ενός RAT και ενός stealer στο ίδιο αρχείο επιτρέπει στους επιτιθέμενους να αποκτήσουν άμεσο έλεγχο, να μετακινηθούν πλευρικά («lateral movement») και να εκφορτώσουν μεγάλα όγκους ευαίσθητων δεδομένων με συντονισμένο τρόπο. Το αποτέλεσμα είναι μια οικονομία πόρων για τον επιτιθέμενο: ένα σύνολο εργαλείων που καλύπτει ανίχνευση, επιμονή και εξαγωγή δεδομένων.

Πώς το PyInstaller κρύβει το πραγματικό payload

Το ίδιο το BlankGrabber είναι αρχικά ένας Python‑based stealer που έχει «τυλιχτεί» σε εκτελέσιμο με τον builder του PyInstaller. Η ανάλυση δείχνει ότι το bundle περιέχει ένα κρυπτογραφημένο αρχείο ονόματι «blank.aes», το οποίο αποκρυπτογραφείται κατά το runtime με πρότυπα AES (η έρευνα αναφέρεται σε προσαρμοσμένο AES/GCM). Το αποτέλεσμα ανακατασκευάζει ένα ZIP που, όταν αποσυμπιεστεί, περιέχει έναν δεύτερο πολύ obfuscated Python stub. Αυτή η επαναληπτική αποσυσκευασία — zlib compression, Base64, ROT13 και string reversal — τοποθετεί πολλαπλά εμπόδια στην στατική ανάλυση και στο signature matching.

Εκτενής αναγνώριση και συλλογή στοιχείων

Μετά το ξετύλιγμα, το BlankGrabber κάνει εκτενείς ελέγχους περιβάλλοντος για να εντοπίσει τεχνητά ή αναλυτικά είναι: ελέγχει UUIDs, vendors των δικτυακών adapters, πραγματοποιεί συνδέσεις σε τυχαία domains για να διαπιστώσει αν το δίκτυο επιστρέφει φυσικές απαντήσεις και σκανάρει για εργαλεία ασφάλειας. Στη συνέχεια προχωρά στην προφίλ‑συλλογή με εντολές όπως systeminfo, getmac, WMI queries (π.χ. Win32_ShortcutFile, AntivirusProduct, csproduct) και ακόμη και capture κάμερας. Στρατολογεί πληροφορίες συνδεδεμένων Wi‑Fi προφίλ και αποκαλύπτει τα κλειδιά με netsh.

Τι ακριβώς κλέβει και πώς το πακετάρει

Η γκάμα των στοιχείων που εξάγονται είναι μεγάλη: credentials από Chromium και Firefox (passwords, cookies, ιστορικό, autofill), δεδομένα από επεκτάσεις crypto‑wallet, πληροφορίες από εφαρμογές όπως Telegram, Discord, Steam, Epic Games, Roblox και Minecraft, καθώς και το clipboard. Για να συσκευάσει τα πάντα, χρησιμοποιεί ένα ενσωματωμένο rar.exe και προστατεύει το αρχείο με κωδικό («Blank123»), γεγονός που κάνει την αυτοματοποιημένη ανίχνευση ακόμα πιο δύσκολη.

Εξαγωγή δεδομένων μέσω Telegram και δημόσιων υπηρεσιών

Η εξαγωγή (exfiltration) δεν γίνεται με απλό FTP ή C2 μόνο. Οι χειριστές χειραγωγούν δημόσιες υπηρεσίες και APIs — IP lookup υπηρεσίες όπως ip‑api[.]com, πλατφόρμες μεταφόρτωσης αρχείων και paste sites όπως gofile.io και cdn.discordapp.com, αλλά και bots στο Telegram. Αυτοί οι μηχανισμοί προσφέρουν ευελιξία, ανωνυμία και αξιοπιστία στη μεταφορά των δεδομένων, και δυσκολεύουν την άμεση συνδέσμο με έναν παραδοσιακό C2 host.

Μηχανισμοί επιμονής και προσπάθειες να απενεργοποιήσουν την άμυνα

Το BlankGrabber δεν σταματά στην κλοπή. Αλλάζει το αρχείο hosts για να μπλοκάρει σελίδες AV και sites ασφάλειας, χρησιμοποιεί PowerShell για να απενεργοποιήσει στοιχεία του Windows Defender (real‑time monitoring, cloud protection) και προσθέτει εξαιρέσεις για τους φακέλους εργασίας του. Επίσης υλοποιεί registry‑based UAC bypass για να αναβαθμίσει τα προνόμια του και εγκαθιστά αντίγραφα στα startup folders για επιμονή μετά επανεκκίνηση.

Τεχνικές εντοπισμού για επιθεωρητές ασφαλείας

Η ομάδα του Splunk προτείνει συγκεκριμένες αναλυτικές ανιχνεύσεις για SOCs: παρακολούθηση για κλήσεις σε certutil.exe που αποκωδικοποιούν blobs και όχι πιστοποιητικά, DNS queries προς Telegram API ή ip‑api[.]com, εκτέλεση WinRAR/rar.exe εκτός τυπικών διαδρομών, ύποπτες τροποποιήσεις του hosts file, WMI reconnaissance και DNS lookups προς υπηρεσίες όπως gofile.io και cdn.discordapp.com. Συνδυασμένες, αυτές οι ενδείξεις βοηθούν να εντοπιστεί το ψευδο‑πιστοποιητικό loader του BlankGrabber πριν γίνει η μεγάλη εξαγωγή κωδικών και token.

Συγκεκριμένα IOC

Η έρευνα περιλαμβάνει αρχεία SHA256 ως ενδεικτικά χειροπιαστά IOC που μπορούν να χρησιμοποιηθούν σε threat intelligence και ευθυγραμμίσεις:
SHA256: 268d12a71b7680e97a4223183a98b565cc73bbe2ab99dfe2140960cc6be0fc87 — BlankGrabber
SHA256: ac36b970704881c7656e8fdd7e8c532e22896b97a47acef5ca624d7701bf991 — Batch loader.

Τι μπορούν να κάνουν οι οργανισμοί σήμερα

Η άμυνα προς αυτή την τεχνική απαιτεί πολλαπλά επίπεδα ελέγχου. Πρακτικά μέτρα περιλαμβάνουν Application Control (WDAC/AppLocker) ώστε να εμποδίζεται η εκτέλεση μη εξουσιοδοτημένων exe από %TEMP%, περιορισμό χρήσης εργαλείων όπως certutil για μη‑διαχειριστικά σενάρια, ενίσχυση κανόνων PowerShell (Constrained Language Mode, logging), και network egress φίλτρα για γνωστές υπηρεσίες exfiltration όπως Telegram API, gofile.io και ip‑api. Επιπλέον, το EDR πρέπει να συνδυάζει telemetry για host‑based συμπεριφορές (WMI queries, hosts edits, rar.exe εκτελέσεις) με γενικευμένες hunting queries για suspicious certutil usage.

Γιατί έχει σημασία

Η καινοτομία του ψευδο‑πιστοποιητικού δείχνει μια σημαντική τάση: οι επιτιθέμενοι δεν περιορίζονται πια σε ένα μόνο μοντέλο (script vs binary) αλλά συνδυάζουν τεχνολογίες για να εκμεταλλευτούν την εμπιστοσύνη που έχουν τα sysadmins σε νομιμόφρονες εντολές. Η χρήση compiled Rust stageers, σε συνδυασμό με obfuscated PyInstaller εργαλεία και κοινές δημόσιες υπηρεσίες για εξαγωγή, ανεβάζει τον πήχυ ανίχνευσης. Για επιχειρήσεις και οργανισμούς αυτό σημαίνει ότι η απλώς υπογραφή‑βασισμένη προστασία δεν αρκεί — χρειάζονται συμπεριφορικές, context‑aware λύσεις.

Ελληνικό και ευρωπαϊκό πλαίσιο

Σε εθνικό και ευρωπαϊκό επίπεδο, τέτοιες επιθέσεις έχουν διπλή επίπτωση: πέρα από την άμεση απώλεια δεδομένων, οι διαρροές credential μπορεί να προκαλέσουν παραβίαση προσωπικών δεδομένων και να ενεργοποιήσουν υποχρεώσεις υπό το GDPR. Στον ελληνικό χώρο, όπου πολλοί οργανισμοί υιοθετούν υβριδικά μοντέλα εργασίας, η πιθανότητα έκθεσης αυξάνεται. Είναι κρίσιμο να εμπλακούν τα CERTs, οι πάροχοι MSSP και οι εσωτερικές ομάδες ασφαλείας σε κοινές πρακτικές παρακολούθησης και ανταλλαγής IOC.

Τελικές σκέψεις

Η εξέλιξη του BlankGrabber υπογραμμίζει ότι οι επιθέσεις γίνονται πιο σύνθετες, αξιοποιώντας νόμιμα εργαλεία, compiled stagers και δημοφιλείς υπηρεσίες για κρυφή εξαγωγή δεδομένων. Οι οργανισμοί που θα επενδύσουν σε προληπτική ανίχνευση, περιορισμούς εκτέλεσης και ελεγχόμενη πρόσβαση στα εργαλεία της πλατφόρμας τους — καθώς και σε συνεχές threat hunting — θα μειώσουν σημαντικά τη ρητορική επιτυχίας τέτοιων εκστρατειών.