欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

风云再起,签名冒用引发信任危机

来源:本站整理 作者:佚名 时间:2018-08-08 TAG: 我要投稿

前言
近期,360核心安全团队独家监测到“签名冒用”的新动向,颁发机构除了之前披露的Go Daddy和Starfield Secure两家,知名的老牌CA厂商赛门铁克、Verisign和DigiCert也相继沦陷。而被冒名顶替的签名主体都是一些大家耳熟能详的公司例如北京方正、中望CAD、数码大方、京东、恒生电子、IBM等等,被签名的程序也是五花八门,从捆绑木马的常用软件,到团伙之间互相对抗的模块(黑吃黑),再到如今诱导安装的钓鱼远控,几乎囊括了国内软件黑产链上的所有环节。它们赖以生存的护身法宝就是这些知名公司的数字签名,但是实际上这些被假冒签名的知名公司可能都毫不知情,名头太大反而无端躺枪,真假美猴王再次上演一波大型的信任危机。
事件回顾
下图是数字签名冒用的对抗史,360对此类攻击事件进行持续对抗并率先全面查杀。

对“签名冒用”这类攻击方式的历史事件进行回顾:
2016年8月份,360首次发现了冒用知名公司“美图”、“暴风影音”等数字签名的木马并发布了披露报告。
2016年9月份,360监测到更多知名的公司如“浙江翼信”、“可牛”等签名被用于签发大量诱导性木马在外传播。
2017年8月份,360持续监控和追踪冒用知名游戏公司“竞技世界”、“上海天游”等签名的私服程序通过大量的网站捆绑分发,用来劫持网络流量。
2018年7月份,360再次独家发现使用新颁发机构进行签名冒用的远控木马程序通过钓鱼网站进行传播。
数据统计
从历史攻击事件的回顾中可以看出,该类攻击从未停止并且在不断的变化升级。今年,数字签名冒用再度爆发,木马团伙为躲避监控特意更换了签名颁发机构。以下是360监测该类攻击样本的传播数量统计,累计总量已经上万,分别在2017年3月份和2018年3月份有两波较为明显的增幅。

从数字签名的维度上看,事件最开始是由Go Daddy签发“美图”、“暴风”、“酷我”、“京东”等多家知名公司的数字证书,该颁发机构签发的“假”证书也是占比最大。后来发现知名颁发机构“赛门铁克”也开始出现冒用的签名,典型的有冒用“恒生电子”公司签发私服劫持程序。直到今年,再次发现美国老牌的CA机构“DigiCert”也开始沦陷,由签名冒用引发的信任危机再度爆发。

案例分析
以今年最新冒用签发的木马为例对本次事件进行分析。作案团伙传播木马的方式有很多,比如常见的有通过IM工具发送给受骗者诱导其运行,或者通过钓鱼网站来诱骗浏览者运行木马,本文以后者为例。
以下是木马作者精心制作的一个电子产品相关的信息网站首页,访问该页面后会直接弹出新建下载任务的提示。

考虑到上面的弹窗失败率可能会比较高,于是木马作者对该网站进一步改造,当访问者想要查看具体的产品信息页面时,故意在页面上不显示产品图片,反而弹出以下诱导信息:

如果此时还不上当,就再诱导一次用户直接弹出下载框,并且后续每点击一个产品页面都将重复运行以下代码:

既然最终的诱导都希望我们下载这个所谓的“图片显示驱动”程序,我们就来看看它的真面目吧。下载后发现该程序具有正常的数字签名,签名的主体是知名互联网公司“北京数码大方科技”(CAXA Technology CO.,LTD.)。这里需要注意的是,此数字签名并非该公司的官方签名,而是冒用了该公司信息从其他颁发机构(“DigiCert CA”)申请而来的,非常具有欺骗性。

分析下载的“图片显示驱动”程序,该样本实际上是个木马“下载者”程序,运行后将连接远程服务器下载木马模块。连接的服务器地址为“www.yiwotech.cn:443”:

接着程序将自身文件名和哈希值等信息加密后回传服务器,只有当服务器验证成功后才会返回木马模块的下载地址,进一步下载执行后,木马模块将在“C:\Windows\Appp”目录下释放并启动两个程序:ScLauncher.exe和TIM.EXE。这两个程序实际上是一组常见的“白利用”木马模块,ScLauncher.exe是正常的QQ官方启动程序,本身没有任何恶意代码;然而运行该程序后没有经过验证将直接启动同目录下的木马模块TIM.EXE,该模块会启动一个wextract.exe作为傀儡进程来运行远控木马,整个进程链启动关系如下所示:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载