2016-08-16 22:13:07
来源:安全客 作者:360安全卫士
阅读:1319次
点赞(0)
收藏
分享到:
近期360白名单分析组捕获到一批具有知名网络公司数字签名的木马,为了阻止木马的进一步危害,同时也为了提醒其他安全厂商,白名单组对本次事件进行了回顾。
一、带知名公司签名的木马
以下是最新捕获的某知名网络公司数字签名的木马:
我们对木马相关作者进行了持续的关注与追踪,其大概的更新时间线如下:
显然这些知名公司是不可能签发木马的,那么为什么木马会有知名公司的数字签名呢?这是一个让人困惑的问题,为了找到事件的根源我们进行了追踪。
二、伪造数字签名的原理
通过对比知名公司的文件和木马文件,发现两者数字证书的颁发机构不同。由于不同的颁发机构可以为同一家公司颁发证书,但是审核标准不一致,所以黑客就利用了这点成功申请了知名公司的数字证书。如下图所示:
以某家颁发机构数字证书的申请流程为例,公司申请证书有两个必要条件:1. 单位授权书 2. 公对公付款。
如此简单的审查,导致部分颁发机构给木马作者颁发了知名公司的数字证书。
对比Comodo、Thawte、Symantec几家数字签名机构,发现这三家机构需要一份公证面签书(就是当着公证员面签,并由公证处签章),这也间接导致不法分子更难申请到这些机构的数字证书。
于是黑客就利用了手中的数字签名,签发了大量木马文件,由于此类文件非常容易被加入到可信任文件列表,给用户带来了极大的危害。
三、伪造签名木马主要证书
以下是目前为止捕获到的伪造知名公司签发木马的证书:
通过上面的表格,我们可以看到木马利用了相对容易申请的机构来申请数字证书,而且持续不断的签发木马程序。此次安全事件给数字签名机构敲响了警钟,审核过程需要更加严格。
四、带签名的木马基本行为
带有知名公司签名的木马,不但利用了正规的数字签名,还进行了白文件利用,手段极其老练和成熟,对此白名单组进行了深入的分析:
安装包在d:\windows目录下释放两个文件
Auncher.exe是TX白签名文件
OutSupport.dll是暴风黑签名文件
通过TX文件的白利用,Auncher.exe调用OutSupport.dll中的导出函数G_SAEF
创建傀儡进程
注入代码到notepad.exe中
设置傀儡进程EIP
最后在内存中执行木马程序。
以下就是整个流程:
五、杀毒的查杀
对于此类最新的利用审核机构审核不严格,伪造正规公司资料骗取合法签名并且签发的木马,360杀毒进行了第一时间的查杀。
本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/learning/detail/2965.html