Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

被攻陷的数字签名:木马作者冒用知名网络公司签名

0
0
被攻陷的数字签名:木马作者冒用知名网络公司签名

2016-08-16 22:13:07
来源:安全客 作者:360安全卫士

阅读:1319次
点赞(0)
收藏



分享到:








近期360白名单分析组捕获到一批具有知名网络公司数字签名的木马,为了阻止木马的进一步危害,同时也为了提醒其他安全厂商,白名单组对本次事件进行了回顾。

一、带知名公司签名的木马

以下是最新捕获的某知名网络公司数字签名的木马:


被攻陷的数字签名:木马作者冒用知名网络公司签名

我们对木马相关作者进行了持续的关注与追踪,其大概的更新时间线如下:


被攻陷的数字签名:木马作者冒用知名网络公司签名

显然这些知名公司是不可能签发木马的,那么为什么木马会有知名公司的数字签名呢?这是一个让人困惑的问题,为了找到事件的根源我们进行了追踪。


二、伪造数字签名的原理

通过对比知名公司的文件和木马文件,发现两者数字证书的颁发机构不同。由于不同的颁发机构可以为同一家公司颁发证书,但是审核标准不一致,所以黑客就利用了这点成功申请了知名公司的数字证书。如下图所示:


被攻陷的数字签名:木马作者冒用知名网络公司签名

以某家颁发机构数字证书的申请流程为例,公司申请证书有两个必要条件:1. 单位授权书 2. 公对公付款。


被攻陷的数字签名:木马作者冒用知名网络公司签名

如此简单的审查,导致部分颁发机构给木马作者颁发了知名公司的数字证书。

对比Comodo、Thawte、Symantec几家数字签名机构,发现这三家机构需要一份公证面签书(就是当着公证员面签,并由公证处签章),这也间接导致不法分子更难申请到这些机构的数字证书。

于是黑客就利用了手中的数字签名,签发了大量木马文件,由于此类文件非常容易被加入到可信任文件列表,给用户带来了极大的危害。


三、伪造签名木马主要证书

以下是目前为止捕获到的伪造知名公司签发木马的证书:


被攻陷的数字签名:木马作者冒用知名网络公司签名

通过上面的表格,我们可以看到木马利用了相对容易申请的机构来申请数字证书,而且持续不断的签发木马程序。此次安全事件给数字签名机构敲响了警钟,审核过程需要更加严格。


四、带签名的木马基本行为

带有知名公司签名的木马,不但利用了正规的数字签名,还进行了白文件利用,手段极其老练和成熟,对此白名单组进行了深入的分析:


被攻陷的数字签名:木马作者冒用知名网络公司签名

安装包在d:\windows目录下释放两个文件


被攻陷的数字签名:木马作者冒用知名网络公司签名

Auncher.exe是TX白签名文件

OutSupport.dll是暴风黑签名文件

通过TX文件的白利用,Auncher.exe调用OutSupport.dll中的导出函数G_SAEF


被攻陷的数字签名:木马作者冒用知名网络公司签名

创建傀儡进程


被攻陷的数字签名:木马作者冒用知名网络公司签名

注入代码到notepad.exe中


被攻陷的数字签名:木马作者冒用知名网络公司签名

被攻陷的数字签名:木马作者冒用知名网络公司签名

被攻陷的数字签名:木马作者冒用知名网络公司签名

设置傀儡进程EIP


被攻陷的数字签名:木马作者冒用知名网络公司签名

被攻陷的数字签名:木马作者冒用知名网络公司签名

最后在内存中执行木马程序。

以下就是整个流程:


被攻陷的数字签名:木马作者冒用知名网络公司签名

五、杀毒的查杀

对于此类最新的利用审核机构审核不严格,伪造正规公司资料骗取合法签名并且签发的木马,360杀毒进行了第一时间的查杀。


被攻陷的数字签名:木马作者冒用知名网络公司签名
本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/learning/detail/2965.html

Viewing all articles
Browse latest Browse all 12749

Latest Images

Trending Articles





Latest Images