亂世木馬重回戰場,360安全大腦獨家追蹤簽名冒用危機

360安全衛士發表於2020-08-27

數字簽名是網路世界資訊文件的“身份證”,可當“身份證”被不法分子冒用,萬千使用者所面臨的危險可想而知。


近日,360安全大腦獨家發現冒用數字簽名的網路攻擊再度活躍,且繼此前360安全大腦披露過的Go Daddy、Starfield Secure、賽門鐵克、Verisign和DigiCert等國際知名CA證書頒發機構,Sectigo RSA Code Signing CA紛紛淪陷,成為不法攻擊者冒用的新目標。


與以往披露資訊略顯不同的是,此次發現的數字簽名冒用活動,均為Disc soft 盤軟、SRS labs inc音訊技術等境外公司,且簽名程式袖裡藏刀。釋放白利用檔案,藏身正常程式,博彩網站誘導釣魚三管齊下,上演了又一場大型信任危機。



冒用數字簽名以假亂真

“亂世木馬”或捲土重來


從360安全大腦近期捕獲的冒用數字簽名樣本來看,冒用的數字簽名多是公司官方註冊的數字簽名串。在冒用方式上,木馬作者主要透過偽造公司資料向簽發機構申請數字證書,而這也就導致驗證簽發證書樣本時,雖顯示為正常簽名資訊,實際卻為木馬程式的情況。


亂世木馬重回戰場,360安全大腦獨家追蹤簽名冒用危機


在梳理捕獲的冒用數字簽名樣本後,360安全大腦發現多以國外知名公司為主,且數字簽名均由“Sectigo RSA Code Signing CA”簽發機構頒發。


亂世木馬重回戰場,360安全大腦獨家追蹤簽名冒用危機


需要注意的是,360安全大腦在捕獲樣本中發現,部分冒用數字簽名會釋放一組白加黑程式,其中dll檔案就是木馬,具體示例如下圖中QLMainModule.dll檔案。


亂世木馬重回戰場,360安全大腦獨家追蹤簽名冒用危機


在釋放白加黑程式的數字簽名冒用樣本外,還有部分會在正常軟體中加入或替換一劫持的DLL模組,從而在捆綁木馬後,進行二次打包並打上數字簽名,最終將木馬安裝包偽裝成正常軟體。


亂世木馬重回戰場,360安全大腦獨家追蹤簽名冒用危機


對上述兩種打包方式的木馬進行分析後,360安全大腦確認,此次冒用數字簽名擴散的木馬系“亂世”木馬家族。在具體感染路徑上,本次的木馬會在釋放檔案後,呼叫白檔案載入木馬dll,並建立C:\\Windows\\System32\\wextract.exe程式,向該程式注入遠控客戶端執行。接下來,就會連線遠端控制伺服器“dyx.yxwza.org”,並根據接收的控制碼執行相應操作。至此,不法分子可在服務端遠端隨意操控受害者電腦。


亂世木馬重回戰場,360安全大腦獨家追蹤簽名冒用危機


聊天群精準投“毒”

溯源揭穿木馬作惡老底


綜合來看,不法分子冒用數字簽名,一方面是用於簽發誘導性木馬程式,另一方面則是簽發捆綁木馬程式。360安全大腦對木馬進行溯源後發現,誘導釣魚類程式主要在IM 即時聊天工具上傳播,捆綁木馬類程式則主要在博彩網站上傳播。


亂世木馬重回戰場,360安全大腦獨家追蹤簽名冒用危機


利用IM 即時聊天工具出擴散木馬時,木馬作者會將偽裝程式定向投放到個人使用者或各類聊天群,以工作資料和工具檔案為名,誘導特定人群點選執行。


亂世木馬重回戰場,360安全大腦獨家追蹤簽名冒用危機


至於透過博彩網站進行傳播的捆綁木馬類程式,則是以釣魚的形式進行擴散,當使用者登陸後會誘導使用者下載安裝木馬程式。


亂世木馬重回戰場,360安全大腦獨家追蹤簽名冒用危機


需要注意的是,360安全大腦溯源發現,該木馬作者會在網路售賣遠控木馬,且持續更新exe、chm等免殺木馬和控制端功能。下圖是木馬作者釋出在個人空間,部分控制受害使用者電腦的效果圖。


亂世木馬重回戰場,360安全大腦獨家追蹤簽名冒用危機



簽名冒用層出不窮

360安全大腦強勢出擊


近年來,簽名冒用攻擊層出不窮,不法分子不斷更換新的數字簽名和頒發機構作惡的背後,給數字簽名帶來了極大的信任危機。從2016年冒用“暴風影音”等簽名簽發木馬,到現如今冒充國外知名企業數字簽名,並利用簽名、圖示等雙重偽裝隱蔽作亂,亟需廣大使用者提高安全意識。


目前,360安全衛士已對此類木馬進行攔截查殺。同時,針對此類數字簽名冒用威脅,360安全大腦給出如下安全建議:

1、及時前往weishi.360.cn,下載安裝360安全衛士,強力攔截查殺各類病毒木馬;

2、軟體擁有數字簽名並不代表絕對安全,提高安全意識,建議從360軟體管家等正規渠道下載軟體;

3、對於防毒軟體報毒的程式,不要輕易新增信任或退出殺軟執行。


亂世木馬重回戰場,360安全大腦獨家追蹤簽名冒用危機


相關文章