亂世木馬重回戰場，360安全大腦獨家追蹤簽名冒用危機

數字簽名是網路世界資訊文件的“身份證”，可當“身份證”被不法分子冒用，萬千使用者所面臨的危險可想而知。

近日，360安全大腦獨家發現冒用數字簽名的網路攻擊再度活躍，且繼此前360安全大腦披露過的Go Daddy、Starfield Secure、賽門鐵克、Verisign和DigiCert等國際知名CA證書頒發機構，Sectigo RSA Code Signing CA紛紛淪陷，成為不法攻擊者冒用的新目標。

與以往披露資訊略顯不同的是，此次發現的數字簽名冒用活動，均為Disc soft 盤軟、SRS labs inc音訊技術等境外公司，且簽名程式袖裡藏刀。釋放白利用檔案，藏身正常程式，博彩網站誘導釣魚三管齊下，上演了又一場大型信任危機。

冒用數字簽名以假亂真

“亂世木馬”或捲土重來

從360安全大腦近期捕獲的冒用數字簽名樣本來看，冒用的數字簽名多是公司官方註冊的數字簽名串。在冒用方式上，木馬作者主要透過偽造公司資料向簽發機構申請數字證書，而這也就導致驗證簽發證書樣本時，雖顯示為正常簽名資訊，實際卻為木馬程式的情況。

在梳理捕獲的冒用數字簽名樣本後，360安全大腦發現多以國外知名公司為主，且數字簽名均由“Sectigo RSA Code Signing CA”簽發機構頒發。

需要注意的是，360安全大腦在捕獲樣本中發現，部分冒用數字簽名會釋放一組白加黑程式，其中dll檔案就是木馬，具體示例如下圖中QLMainModule.dll檔案。

在釋放白加黑程式的數字簽名冒用樣本外，還有部分會在正常軟體中加入或替換一劫持的DLL模組，從而在捆綁木馬後，進行二次打包並打上數字簽名，最終將木馬安裝包偽裝成正常軟體。

對上述兩種打包方式的木馬進行分析後，360安全大腦確認，此次冒用數字簽名擴散的木馬系“亂世”木馬家族。在具體感染路徑上，本次的木馬會在釋放檔案後，呼叫白檔案載入木馬dll，並建立C:\\Windows\\System32\\wextract.exe程式，向該程式注入遠控客戶端執行。接下來，就會連線遠端控制伺服器“dyx.yxwza.org”，並根據接收的控制碼執行相應操作。至此，不法分子可在服務端遠端隨意操控受害者電腦。

聊天群精準投“毒”

溯源揭穿木馬作惡老底

綜合來看，不法分子冒用數字簽名，一方面是用於簽發誘導性木馬程式，另一方面則是簽發捆綁木馬程式。360安全大腦對木馬進行溯源後發現，誘導釣魚類程式主要在IM 即時聊天工具上傳播，捆綁木馬類程式則主要在博彩網站上傳播。

利用IM 即時聊天工具出擴散木馬時，木馬作者會將偽裝程式定向投放到個人使用者或各類聊天群，以工作資料和工具檔案為名，誘導特定人群點選執行。

至於透過博彩網站進行傳播的捆綁木馬類程式，則是以釣魚的形式進行擴散，當使用者登陸後會誘導使用者下載安裝木馬程式。

需要注意的是，360安全大腦溯源發現，該木馬作者會在網路售賣遠控木馬，且持續更新exe、chm等免殺木馬和控制端功能。下圖是木馬作者釋出在個人空間，部分控制受害使用者電腦的效果圖。

簽名冒用層出不窮

360安全大腦強勢出擊

近年來，簽名冒用攻擊層出不窮，不法分子不斷更換新的數字簽名和頒發機構作惡的背後，給數字簽名帶來了極大的信任危機。從2016年冒用“暴風影音”等簽名簽發木馬，到現如今冒充國外知名企業數字簽名，並利用簽名、圖示等雙重偽裝隱蔽作亂，亟需廣大使用者提高安全意識。

目前，360安全衛士已對此類木馬進行攔截查殺。同時，針對此類數字簽名冒用威脅，360安全大腦給出如下安全建議：

1、及時前往weishi.360.cn，下載安裝360安全衛士，強力攔截查殺各類病毒木馬；

2、軟體擁有數字簽名並不代表絕對安全，提高安全意識，建議從360軟體管家等正規渠道下載軟體；

3、對於防毒軟體報毒的程式，不要輕易新增信任或退出殺軟執行。