欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

针对在有效数字证书内植入远控木马病毒分析报告

来源:本站整理 作者:佚名 时间:2020-01-19 TAG: 我要投稿

一、概要
近日,瑞星安全研究院截获到一批最新的病毒样本,其中部分样本内带有有效的数字签名,且签名者名称与国内外一些知名厂商一致。由于病毒作者使用了“白加黑”劫持、进程注入、自身带有的有效的数字签名以及向系统导入自制根证书在内的多种手段来规避杀毒软件的查杀,故很难被察觉,一旦有受害者中招,将被植入“大灰狼”远程控制木马,电脑内重要机密信息及数据就会被窃取,并且电脑将被病毒作者控制。
众所周知,数字签名是保证信息传输完整性、真实性、安全性及身份认证的一个验证方式,被广泛应用银行、电子政务及电子协议等互联网领域,但近年来却不断被不法分子所利用,成为不法分子谋取私利的工具。
据瑞星安全专家介绍,如果排除掉数字签名证书私钥被窃的情况下,最有可能出现这种情况的原因,就是攻击者通过伪造公司资料,向证书颁发机构申请数字签名,而证书颁发机构审核不严的话就会通过这一申请,攻击者就会获取有效的数字签名。因此,建议颁发机构应以此为戒,加强对数字签名证书的申请审核力度,谨防不法分子有可乘之机。

图:捕获的部分样本
二、数字签名相关介绍
在Windows系统中,一个带有有效数字签名的文件通常意味着这个文件的来源是可信的,不包含恶意代码。

图:微软IE浏览器主程序附带的数字签名
但是在以下两种情况下,对应的数字签名将不再值得被信任:
1.数字签名拥有者没有妥善保管签名用的私钥,导致证书泄漏或者被攻击者窃取。接着攻击者用该证书给自己制作的恶意软件签名,签名将同样有效,并且文件内签名展示的信息与该公司拥有的证书签署后的文件内签名展示的信息完全一致。典型案例便是震惊全球的攻击伊朗核设施的“震网”病毒,攻击者使用了瑞昱公司的数字签名为恶意驱动进行签名。
2.证书颁发机构审核不严,攻击者向证书颁发机构提交伪造的公司资料(通常伪造的公司都是一些知名公司),证书颁发机构向攻击者颁发了签有该公司信息的数字签名。接着攻击者用自己申请来的证书给自己制作的恶意软件签名,签名同样有效,并且文件内签名展示的信息与该公司拥有的证书签署后的文件内展示的信息没有明显差别。
三、样本分析
以下选取其中一个样本做一个简单的分析:

图:攻击流程
1、样本访问恶意站点www.bitttorrrentinc.com,下载并解密favicon.jpg。
名称
评价反馈.exe
MD5
5105E7547FE4B207867107E116E92120
签署者名称
BitTorrent Inc
颁发者
thawte SHA256 Code Signing CA
表:样本信息
2、解密favicon.jpg将会释放出6个文件:在C:\Windows目录中释放logo.jpg,FreeSty.exe和TrustedCert.cer。在C:\$RecycleBin$目录中释放LogiDPPApp.exe,ISWUPD.dll和ISWUPD.log。攻击者利用这些文件来执行导入根证书,白加黑执行大灰狼远控木马等恶意操作。以下是详细分析:
1)打开在C:\Windows目录的中诱饵图片logo.jpg,图片显示的是某个产品的评价页面。

图:诱饵图片
2)导入根证书:执行命令C:\Windows\FreeSty.exe -add -c C:\Windows\TrustedCert.cer -s -r localMachine root。此操作执行完后删除C:\Windows\FreeSty.exe和C:\Windows\TrustedCert.cer。
名称
FreeSty.exe
MD5
5D077A0CDD077C014EEDB768FEB249BA
原始文件名
CERTMGR.EXE
表:FreeSty.exe信息
名称
TrustedCert.cer
MD5
895D11E97BA437535234F1D7CFC2EC61
表:TrustedCert.cer信息

图:FreeSty.exe

图:TrustedCert.cer
3)利用“白加黑”的方式执行“大灰狼”远控木马:运行LogiDPPApp.exe让其加载同级目录下的ISWUPD.dll,该DLL将使用zlib inflate算法解压ISWUPD.log并进行内存加载。ISWUPD.log文件解压后为“大灰狼”远控木马,C2地址为www.bitttorrrentinc.com,端口号是55763。
名称
LogiDPPApp.exe
MD5
2E7160CC15E86479EACEF09092C6EFAE
签署者名称
Check Point Software Technologies Ltd.
颁发者
VeriSign Class 3 Code Signing 2004 CA
表:LogiDPPApp.exe信息
名称
ISWUPD.dll
MD5
67A71D8E4299399F87113B5035426ECE
签署者名称
ASUSTeK Computer Inc.
颁发者
ASUSTeK Computer Inc.
备注
被攻击者自制的证书签名,将之前的根证书导入之后该文件的数字签名将在被感染机器上验证通过
表:ISWUPD.dll信息
四、示例样本的关联分析
通过在瑞星内部数据库进行检索,我们发现了与上述样本行为几乎完全一致的样本,该样本于今年11月中旬捕获,同样带有有效的数字签名。
名称
logo.scr
MD5
DBEE6A79C7127C0CB7B8571A289BE33D
签署者名称
Fujian NetDragon Computer Network Information Technology Co.,Ltd

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载