Suckfly：中国的APT组织对于被盗代码签名证书永无止境的渴求

尘梦幽然

Suckfly：揭秘代码签名证书不为人知的一面
一家中国的高级持续性渗透攻击(APT)组织对于被盗代码签名证书永无止境的渴求。
By: Jon_DiMaggio  SYMANTEC EMPLOYEE

转载者注：样本区就有大量数签泄漏后被用于给恶意软件签名的案例，如：
http://bbs.kafan.cn/thread-2039266-1-1.html
http://bbs.kafan.cn/thread-2039153-1-1.html
http://bbs.kafan.cn/thread-2038905-1-1.html
http://bbs.kafan.cn/thread-2039024-1-1.html
http://bbs.kafan.cn/thread-2039035-1-1.html


查看针对该攻击组织的失窃迹象。

许多具有安全意识的组织会利用代码签名来为其软件和文件提供更多一层的安全性和真实性。代码签名通过使用一种称作代码签名证书的数字证书来执行。代码签名过程可通过确认应用程序是否来自签署它的组织来确认合法软件的真实性。虽然代码签名证书可以提供更高的安全性，但也可能具有意想不到的不为人知的一面，即为Suckfly APT之类的攻击组织的攻击行为提供掩护。

2015年末，赛门铁克发现了一起针对我们的一个客户恶意使用黑客工具的可疑活动。通常，这会被视为一种可被安全软件轻松抵御的低级别安全警报事件。但在这起事件中，该黑客工具却有着迥异于此类文件的不寻常特性；它是由有效的代码签名证书签署的。要知道，许多黑客工具都是基于一些不道德的目的制作的，通常免费提供。因而这可说是一个危险的信号，由此促使我们开展了进一步的调查。

随着调查的不断深入，我们很快就意识到这件事并非只是碰到了几个“奇怪的黑客工具”这么简单。我们发现了一个高级威胁组织Suckfly，它借助多个被盗的证书以及黑客工具和自制恶意软件来发起有针对性的攻击。该组织先是在攻击预备期间获取了一些证书，然后在随后的两年间，针对多个大陆板块的众多政府和商业组织发起了有针对性的攻击。这类恶意使用被盗证书的活动给我们敲响了警钟：必须妥善保管证书，以防它们遭到恶意使用。

对于被盗代码签名证书的偏好
Suckfly支配着各种类型的黑客工具和恶意软件。图1列出了按功能分类的恶意软件和工具，以及与之关联的具有独特哈希值的签名文件的数量。

图1.Suckfly支配的黑客工具及恶意软件（按功能分类）

我们在2015年末发现的第一款签名黑客工具是一个带有数字签名的暴力服务器消息块（SMB）扫描器。与该证书关联的组织是韩国的一家移动软件开发商。我们最初感到好奇是因为这款黑客工具竟然获得了签名，当我们得知是一家移动软件开发商签署它后，就开始变成怀疑了，因为通常说来，这种软件类型应该与移动应用程序无关。

根据这一发现，我们开始寻找使用这家韩国移动软件开发商证书签署的其他二进制文件。由此，我们又发现了另外三个也使用该证书签署的黑客工具。除了使用被盗证书签过名以外，我们发现的黑客工具已被用于针对在印度运营的美国医疗保健提供商进行了一些可疑的活动。这一证据表明该证书的合法拥有者要么滥用了证书，要么是证书已经被盗。赛门铁克与该证书的所有者协作，最终确认该黑客工具与其没有关系。

通过进一步挖掘线索，我们根据恶意流量追查到了它的起源地，并且有更多的证据表明：攻击者持续使用相同的基础设施。我们发现这些活动来自于三个独立的IP地址，它们全部位于中国成都。

除了发自成都的流量以外，我们还发现了使用九个被盗证书签名的一系列黑客工具和恶意软件。

这九个被盗证书来自地理位置相近（均位于韩国首尔的中心区）的九家不同的公司。图2列出了这些公司所在的区域。

图2.首尔中心区的地图 — 被盗证书的归属地（地图数据来源：2016 SK planet）

虽然我们不知道证书被盗的确切情况，但最可能的情况是：这些企业遭到了有能力搜索并从组织内提取证书的恶意软件的入侵。近几年来，我们已发现许多威胁因素具备了这种能力。

拥有被盗证书的组织来自于四个行业（见图3）。

图3.被盗证书的所有者（按行业分类）

滥用时间轴
我们不知道Suckfly从这些韩国组织盗取证书的确切日期。但是，通过分析首次发现证书与黑客工具或恶意软件配对的日期，我们可以深入了解证书被盗的大概时间。图4详细介绍了每个被盗证书在给定月份里使用了多少次。

图4.对Suckfly使用被盗证书情况的跟踪（按月排列）

首次发现三个被盗证书（共九个）用于恶意活动是在2014年初。2014年，只有这三个证书遭到了滥用，这可能表明，另外六个证书在2015年以前尚未失窃。2015年，所有九个证书都被用于执行恶意活动。

据图4中的数据显示，第一批遭到滥用的证书归A公司（教育软件开发商）和B公司（2号视频游戏开发商）所有。A公司的证书被滥用了一年多（从2014年4月至2015年6月），B公司的证书被滥用了将近一年（从2014 年7月至2015年6月）。直到我们发现这一活动前，两家公司对于证书被盗并被用于恶意活动的事实一无所知。两家公司都没发现这些恶意活动，因此，没有任何被盗证书遭到吊销。证书被吊销时，计算机在询问用户是否继续安装前，会显示一个窗口，说明该证书无法通过验证，不应受到用户的信任。

签字、盖章、发送
如前所述，赛门铁克在此次调查中发现被盗证书被用来签署黑客工具及恶意软件。通过对恶意软件的进一步分析，我们发现这应该是一种自制的后门程序。我们认为Suckfly是一个专门开发用于网络间谍活动的后门程序的组织。赛门铁克检测到这一威胁为Backdoor.Nidiran。

经过对Nidiran样本的分析可以发现，该后门程序从2014年初起已经更新了三次，这也与图4所示的时间轴吻合。每次修改的变化都不大，很可能是为了增加功能和避免检测而进行的。虽然该恶意软件是自制的，但它只为攻击者提供了标准的后门功能。

Suckfly通过狡猾的恶意网页来发送Nidiran。具体说来，该威胁组织使用特制网页来发送Microsoft Windows OLE远程代码执行漏洞（CVE-2014-6332）的漏洞利用，会影响到特定版本的Microsoft Windows。当潜在受害者使用Internet Explorer浏览该恶意网页时，就会触发该漏洞利用，从而使得攻击者能够使用与当前登录用户相同的权限执行代码。

一旦触发漏洞利用后，Nidiran即通过自解压形式的可执行文件（执行后会将其组件解压到一个.tmp文件夹中）发送。该恶意软件随后会执行一个“svchost.exe”PE文件 — 实际上是一种称作OLEVIEW.EXE的清理工具。然后，该可执行文件会加载iviewers.dll，这通常是一个干净、合法的文件。攻击者通过分发伪装成合法的iviewers.dll文件的形式传播恶意文件，然后利用DLL加载劫持手段来执行恶意代码并感染计算机。这一技术与Korplug/Plug-x恶意软件关联，是中国网络间谍活动常用的手段之一。

对代码签名证书的高度需求
Suckfly虽然不是使用证书签署恶意软件的唯一攻击组织，但他们可能是这些组织中“藏品”最为丰富的收藏家。毕竟，Stuxnet（公认是世界上第一个已知的网络武器）就是由位于中国台湾的公司使用被盗证书签署的，其运用日期远远早于Suckfly。其他网络间谍组织，如Black Vine、Hidden Lynx等，也在各自的活动中使用了被盗证书。

2013年4月，一家第三方供应商发布了一份关于网络间谍组织借助自制恶意软件从其公司窃取证书的报告。该报告指称的是一家位于中国的高级威胁组织。经赛门铁克追查，发现该活动的幕后黑手是Blackfly，并检测到他们使用的恶意软件为Backdoor.Winnti。

Blackfly的攻击手法与Suckfly近来的攻击手法有一些相似之处。Blackfly从窃取证书的活动开始，随后在有针对性的攻击中使用这些证书签署恶意软件。Blackfly窃取的证书也是归韩国企业（主要是视频游戏和软件开发行业）所有。另一个相似点是Suckfly窃取D公司证书（见图4）的时间距Blackfly从该公司窃取证书的时间不到两年。虽然被盗证书不同，失窃情况也不一样，但在从中国发起的针对性攻击中，它们均被用于自制恶意软件。

攻击者为什么要签署恶意软件？
通过本次调查和我们已经讨论过的其他攻击活动可以发现，使用代码签名证书签名的恶意软件正变得越来越普遍。攻击者正在将时间和精力用在窃取证书上，因为要在目标计算机上站稳脚跟，这已成为一项必不可少的活动。互联网和安全系统已转向需要更多信任和信誉的模型，因此，试图使用代码签名证书为恶意软件签名的活动变得越来越普遍。这意味着，不可信的软件可能无法在计算机上运行，除非它获得签名。

正如我们在之前有关Apple威胁环境的调研中指出的那样，某些操作系统（比如Mac OS X）默认配置为只允许经过有效证书签名的应用程序运行（这意味着它们是值得信赖的）。

图5.Mac OS X可配置为只允许受信任的应用程序执行

但是，攻击者可通过使用从声誉斐然的组织窃取的有效代码签名证书来盗用该公司的良好信誉，使其能够更轻易地溜过多种防护并获取目标计算机的访问权。

结论
Suckfly是网络攻击组织和网络犯罪分子当前采取的重点攻击手法的真实写照。我们的调查折射出了代码签名证书通常不为人知和劣性一面，这是其所有者完全始料不及的。这项研究的意义表明：证书持有者需要严密保管证书，以防它们落入坏人之手。重要的是，为证书提供必要的保护以防其被恶意使用。

证书的安全性与组织针对其设立的保管措施息息相关。一旦证书失窃，签署恶意软件的组织的声誉也会受损。证书被盗并用于签署恶意软件的企业永远无法与此类活动撇清关系。

赛门铁克监测此类活动可帮助防止企业因为证书被盗而与恶意活动扯上关系。在本次调查过程中，我们确保被Suckfly窃取的所有证书都已吊销，且所有受影响的公司均收到了通知。

在过去的几年里，我们发现有许多高级威胁和网络犯罪集团窃取了代码签名证书。在所有涉及高级威胁的案例中，证书都被用来将恶意软件伪装成合法的文件或应用程序。

随着这一趋势的不断发展，企业维持强有力的网络安全做法并将其证书和相关密钥存储在安全的环境中正变得日益重要。使用加密及赛门铁克拓展验证（EV）代码签名、赛门铁克安全应用服务等服务可提供额外的安全层。

防护
赛门铁克已部署了下面的检测工具来防范Suckfly恶意软件的威胁：

防病毒软件

Backdoor.Nidiran
Backdoor.Nidiran!g1
Hacktool
Exp.CVE-2014-6332

入侵防御系统

网页攻击：Microsoft OleAut32 RCE CVE-2014-6332
网页攻击：Microsoft OleAut32 RCE CVE-2014-6332 2
网页攻击：Microsoft OleAut32 RCE CVE-2014-6332 4
网页攻击：OLEAUT32 CVE-2014-6332 3
系统感染：Trojan.Backdoor Activity 120

更多信息

有关赛门铁克的代码签名数字证书解决方案的更多信息，请访问我们的代码签名信息中心。
有关如何最妥善地保护您的代码签名证书的更多信息，请参阅我们的白皮书：代码签名证书的最佳做法保护私钥

更新 — 2016年3月18日
失窃的迹象

文件哈希值

05edd53508c55b9dd64129e944662c0d
1cf5ce3e3ea310b0f7ce72a94659ff54
352eede25c74775e6102a095fb49da8c
3b595d3e63537da654de29dd01793059
4709395fb143c212891138b98460e958
50f4464d0fc20d1932a12484a1db4342
96c317b0b1b14aadfb5a20a03771f85f
ba7b1392b799c8761349e7728c2656dd
de5057e579be9e3c53e50f97a9b1832b
e7d92039ffc2f07496fe7657d982c80f
e864f32151d6afd0a3491f432c2bb7a2
基础设施

usv0503[.]iqservs-jp.com
aux[.]robertstockdill.com
fli[.]fedora-dns-update.com
bss[.]pvtcdn.com
ssl[.]microsoft-security-center.com
ssl[.]2upgrades.com
133.242.134.121
fli[.]fedora-dns-update.com

来源：http://www.symantec.com/connect/blogs/suckfly-0

Aing

内部文件

hez2010

第一眼看成了ATP。。。三磷酸腺苷hhhh

519874810

有反应了。。。应该就不至于被打的体无完肤了