查看: 2223|回复: 4
收起左侧

[技术原创] 风云再起,签名冒用引发信任危机

[复制链接]
360主动防御
发表于 2018-8-6 10:39:56 | 显示全部楼层 |阅读模式
本帖最后由 360主动防御 于 2018-8-6 10:42 编辑

前言
近期,360核心安全团队独家监测到“签名冒用”的新动向,颁发机构除了之前披露的Go Daddy和Starfield Secure两家,知名的老牌CA厂商赛门铁克、Verisign和DigiCert也相继沦陷。而被冒名顶替的签名主体都是一些大家耳熟能详的公司,例如北京方正、中望CAD、数码大方、京东、恒生电子、IBM等等,被签名的程序也是五花八门,从捆绑木马的常用软件,到团伙之间互相对抗的模块(黑吃黑),再到如今诱导安装的钓鱼远控,几乎囊括了国内软件黑产链上的所有环节。它们赖以生存的护身法宝就是这些知名公司的数字签名,但是实际上这些被假冒签名的知名公司可能都毫不知情,名头太大反而无端躺枪,真假美猴王再次上演一波大型的信任危机。

事件回顾
下图是360安全卫士与数字签名冒用的恶意程序对抗史

对“签名冒用”这类攻击方式的历史事件进行回顾:
2016年8月份,360发现了冒用知名公司“美图”、“暴风影音”等数字签名的木马并发布了披露报告。
2016年9月份,360监测到更多知名的公司如“浙江翼信”、“可牛”等签名被用于签发大量诱导性木马在外传播。
2017年8月份,360监控和追踪冒用知名游戏公司“竞技世界”、“上海天游”等签名的私-Fu程序通过大量的网站捆绑分发,用来劫持网络流量。
2018年7月份,360再次发现使用新颁发机构进行签名冒用的远控木马程序通过钓鱼网站进行传播。

数据统计
从历史攻击事件的回顾中可以看出,该类攻击从未停止并且在不断的变化升级。今年,数字签名冒用再度爆发,木马团伙为躲避监控特意更换了签名颁发机构。以下是该类攻击样本的传播数量统计,累计总量已经上万,分别在2017年3月份和2018年3月份有两波较为明显的增幅。

从数字签名的维度上看,事件最开始是由Go Daddy签发“美图”、“暴风”、“酷我”、“京东”等多家知名公司的数字证书,该颁发机构签发的“假”证书也是占比最大。后来发现知名颁发机构“赛门铁克”也开始出现冒用的签名,典型的有冒用“恒生电子”公司签发私-Fu劫持程序。直到今年,再次发现美国老牌的CA机构“DigiCert”也开始沦陷,由签名冒用引发的信任危机再度爆发。

案例分析
以今年最新冒用签发的木马为例对本次事件进行分析。作案团伙传播木马的方式有很多,比如常见的有通过IM工具发送给受骗者诱导其运行,或者通过钓鱼网站来诱骗浏览者运行木马,本文以后者为例。

以下是木马作者精心制作的一个电子产品相关的信息网站首页,访问该页面后会直接弹出新建下载任务的提示。

考虑到上面的弹窗失败率可能会比较高,于是木马作者对该网站进一步改造,当访问者想要查看具体的产品信息页面时,故意在页面上不显示产品图片,反而弹出以下诱导信息:

如果此时还不上当,就再诱导一次用户直接弹出下载框,并且后续每点击一个产品页面都将重复运行以下代码:

既然最终的诱导都希望我们下载这个所谓的“图片显示驱动”程序,我们就来看看它的真面目吧。下载后发现该程序具有正常的数字签名,签名的主体是知名互联网公司“北京数码大方科技”(CAXA Technology CO.,LTD.)。这里需要注意的是,此数字签名并非该公司的官方签名,而是冒用了该公司信息从其他颁发机构(“DigiCert CA”)申请而来的,非常具有欺骗性。

分析下载的“图片显示驱动”程序,该样本实际上是个木马“下载者”程序,运行后将连接远程服务器下载木马模块。连接的服务器地址为“www.yiwotech.cn:443”:

接着程序将自身文件名和哈希值等信息加密后回传服务器,只有当服务器验证成功后才会返回木马模块的下载地址,进一步下载执行后,木马模块将在“C:\Windows\Appp”目录下释放并启动两个程序:ScLauncher.exe和TIM.EXE。这两个程序实际上是一组常见的“白利用”木马模块,ScLauncher.exe是正常的QQ官方启动程序,本身没有任何恶意代码;然而运行该程序后没有经过验证将直接启动同目录下的木马模块TIM.EXE,该模块会启动一个wextract.exe作为傀儡进程来运行远控木马,整个进程链启动关系如下所示:

在木马模块TIM.EXE启动傀儡进程wextract.exe时将远控木马模块从内存中dump出来进行分析,该模块是一个加了压缩壳的EXE可执行程序,调试运行后可以看到其直接连接远程控制服务器“tong.jinjingltsh.top:2018”:

最后进入接收指令的流程执行远程控制命令,包括常见的开启远程桌面、下载执行任意程序等功能,至此作案团伙可远程随意操控受害用户的电脑。

本次事件涉及3个知名公司签名,分别是冒用了“北京方正”、“中望CAD”和“数码大方”的信息,均是从新的颁发机构“DigiCert”申请的有效签名,主要用于签发大量的诱导性远控木马程序,少部分为游戏辅助程序和黑客工具等。

结语
签名冒用攻击出现以来,冒用签名数量不断的增多且攻击的目标不断变换。2016年通过冒用“暴风影音”开始签发木马,2017年主要以签发劫持类私-Fu程序为主,直到2018年木马团伙又改变了颁发机构和数字签名,采用更加隐蔽的方式传播远控程序。被冒用的签名表面上都是正常有效的“大公司”签名,私下里正在被木马团伙用来签发任意的恶意程序和木马,成为突破当前安全防护体系的一道护身符,安全形势越发严峻,越来越多的用户和组织成为了被攻击的目标。木马团伙仍不断的发现和利用新的系统漏洞作为网络武器来谋取利益。对此,360已改善自身的防护体系,全面查杀此类病毒木马。同时也呼吁,相关的签名颁发机构加强审核机制 ,避免此类事件再次发生。

附录
从2016年开始至今发现的已知被冒用的签名及对应的颁发机构列表如下:



cloud01
头像被屏蔽
发表于 2018-8-6 16:33:12 | 显示全部楼层
建议 废除数字签名制。没什么用了。还会被利用。
Jerry.Lin
发表于 2018-8-7 09:23:05 | 显示全部楼层
这种你们是如何防范的

你们主防不是严重依赖信任机制吗?(Whitelist-based),那有什么手段可以防范这种冒用呢?是要等到用户上报还是客户端本身有什么反馈机制?
要不然第一批用户肯定遭殃
360主动防御
 楼主| 发表于 2018-8-7 10:20:55 | 显示全部楼层
191196846 发表于 2018-8-7 09:23
这种你们是如何防范的

你们主防不是严重依赖信任机制吗?(Whitelist-based),那有什么手段可以防范这 ...

不需要用户上报,云可以第一时间发现预警并及时查杀,有自动发现流程
Kyo.BA
发表于 2018-8-15 13:36:37 | 显示全部楼层
cloud01 发表于 2018-8-6 16:33
建议 废除数字签名制。没什么用了。还会被利用。

是谁跟你说数字签名没有用???好好回去多看看数字签名到底是干嘛的吧?你真是睿智
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 03:44 , Processed in 0.137676 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表