歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

針對在有效數字證書內植入遠控木馬病毒分析報告

來源:本站整理 作者:佚名 時間:2020-01-19 TAG: 我要投稿

一、概要
近日,瑞星安全研究院截獲到一批最新的病毒樣本,其中部分樣本內帶有有效的數字簽名,且簽名者名稱與國內外一些知名廠商一致。由于病毒作者使用了“白加黑”劫持、進程注入、自身帶有的有效的數字簽名以及向系統導入自制根證書在內的多種手段來規避殺毒軟件的查殺,故很難被察覺,一旦有受害者中招,將被植入“大灰狼”遠程控制木馬,電腦內重要機密信息及數據就會被竊取,并且電腦將被病毒作者控制。
眾所周知,數字簽名是保證信息傳輸完整性、真實性、安全性及身份認證的一個驗證方式,被廣泛應用銀行、電子政務及電子協議等互聯網領域,但近年來卻不斷被不法分子所利用,成為不法分子謀取私利的工具。
據瑞星安全專家介紹,如果排除掉數字簽名證書私鑰被竊的情況下,最有可能出現這種情況的原因,就是攻擊者通過偽造公司資料,向證書頒發機構申請數字簽名,而證書頒發機構審核不嚴的話就會通過這一申請,攻擊者就會獲取有效的數字簽名。因此,建議頒發機構應以此為戒,加強對數字簽名證書的申請審核力度,謹防不法分子有可乘之機。

圖:捕獲的部分樣本
二、數字簽名相關介紹
在Windows系統中,一個帶有有效數字簽名的文件通常意味著這個文件的來源是可信的,不包含惡意代碼。

圖:微軟IE瀏覽器主程序附帶的數字簽名
但是在以下兩種情況下,對應的數字簽名將不再值得被信任:
1.數字簽名擁有者沒有妥善保管簽名用的私鑰,導致證書泄漏或者被攻擊者竊取。接著攻擊者用該證書給自己制作的惡意軟件簽名,簽名將同樣有效,并且文件內簽名展示的信息與該公司擁有的證書簽署后的文件內簽名展示的信息完全一致。典型案例便是震驚全球的攻擊伊朗核設施的“震網”病毒,攻擊者使用了瑞昱公司的數字簽名為惡意驅動進行簽名。
2.證書頒發機構審核不嚴,攻擊者向證書頒發機構提交偽造的公司資料(通常偽造的公司都是一些知名公司),證書頒發機構向攻擊者頒發了簽有該公司信息的數字簽名。接著攻擊者用自己申請來的證書給自己制作的惡意軟件簽名,簽名同樣有效,并且文件內簽名展示的信息與該公司擁有的證書簽署后的文件內展示的信息沒有明顯差別。
三、樣本分析
以下選取其中一個樣本做一個簡單的分析:

圖:攻擊流程
1、樣本訪問惡意站點www.bitttorrrentinc.com,下載并解密favicon.jpg。
名稱
評價反饋.exe
MD5
5105E7547FE4B207867107E116E92120
簽署者名稱
BitTorrent Inc
頒發者
thawte SHA256 Code Signing CA
表:樣本信息
2、解密favicon.jpg將會釋放出6個文件:在C:\Windows目錄中釋放logo.jpg,FreeSty.exe和TrustedCert.cer。在C:\$RecycleBin$目錄中釋放LogiDPPApp.exe,ISWUPD.dll和ISWUPD.log。攻擊者利用這些文件來執行導入根證書,白加黑執行大灰狼遠控木馬等惡意操作。以下是詳細分析:
1)打開在C:\Windows目錄的中誘餌圖片logo.jpg,圖片顯示的是某個產品的評價頁面。

圖:誘餌圖片
2)導入根證書:執行命令C:\Windows\FreeSty.exe -add -c C:\Windows\TrustedCert.cer -s -r localMachine root。此操作執行完后刪除C:\Windows\FreeSty.exe和C:\Windows\TrustedCert.cer。
名稱
FreeSty.exe
MD5
5D077A0CDD077C014EEDB768FEB249BA
原始文件名
CERTMGR.EXE
表:FreeSty.exe信息
名稱
TrustedCert.cer
MD5
895D11E97BA437535234F1D7CFC2EC61
表:TrustedCert.cer信息

圖:FreeSty.exe

圖:TrustedCert.cer
3)利用“白加黑”的方式執行“大灰狼”遠控木馬:運行LogiDPPApp.exe讓其加載同級目錄下的ISWUPD.dll,該DLL將使用zlib inflate算法解壓ISWUPD.log并進行內存加載。ISWUPD.log文件解壓后為“大灰狼”遠控木馬,C2地址為www.bitttorrrentinc.com,端口號是55763。
名稱
LogiDPPApp.exe
MD5
2E7160CC15E86479EACEF09092C6EFAE
簽署者名稱
Check Point Software Technologies Ltd.
頒發者
VeriSign Class 3 Code Signing 2004 CA
表:LogiDPPApp.exe信息
名稱
ISWUPD.dll
MD5
67A71D8E4299399F87113B5035426ECE
簽署者名稱
ASUSTeK Computer Inc.
頒發者
ASUSTeK Computer Inc.
備注
被攻擊者自制的證書簽名,將之前的根證書導入之后該文件的數字簽名將在被感染機器上驗證通過
表:ISWUPD.dll信息
四、示例樣本的關聯分析
通過在瑞星內部數據庫進行檢索,我們發現了與上述樣本行為幾乎完全一致的樣本,該樣本于今年11月中旬捕獲,同樣帶有有效的數字簽名。
名稱
logo.scr
MD5
DBEE6A79C7127C0CB7B8571A289BE33D
簽署者名稱
Fujian NetDragon Computer Network Information Technology Co.,Ltd

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.650547.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        安徽快3自由的百科 湖南麻将怎么胡牌图解 25选5胆拖表 四川快乐12开奖结果走势图手机版 pc蛋蛋赔率 能赚钱的手机软件 在线配资开户 贵州快3开奖软件 欧冠夺冠热门 吉林麻将吧 黑龙江十一选五开奖走势