查看: 1731|回复: 5
收起左侧

[技术原创] 远控木马盗用网易官方签名

[复制链接]
360主动防御
发表于 2018-10-16 16:34:00 | 显示全部楼层 |阅读模式
本帖最后由 360主动防御 于 2018-10-16 16:34 编辑

前言
每逢节假日,各种木马病毒都习惯性蹭热点刷存在感。在临近国庆假期之际,360核心安全监测到木马病毒的传播又活跃起来了,有款远控木马试图借用“网易”官方签名躲避查杀大肆传播。


历史回顾
近些年来关于数字签名的攻击层出不穷,首先简单回顾一下近两年内发生过的一些签名攻击事件,主要分为签名盗用类、签名冒用类、签名仿冒类和签名过期类。

签名盗用类是指恶意程序使用的数字签名为某公司官方使用过的相同数字签名,其数字证书的指纹也相同。本次新发现的远控木马就属于盗用签名类。此外我们也曾经发现过“北京财联融讯信息技术有限公司”、“科云(上海)信息技术有限公司”和“上海海鼎信息工程股份有限公司”等公司的数字签名被用于签发恶意程序。

签名冒用类是指恶意程序使用的数字签名与某公司的数字签名串相同,但并非使用该公司的官方证书签发,而是另外从其他签发机构申请到相同签名主体的证书。此类攻击360核心安全持续追踪并进行披露,独家发现了包括“方正”、“京东”、“IBM”等多家知名公司的数字签名被冒用,具体可参见附录的参考链接。

签名仿冒类是指恶意程序使用的数字签名为某公司数字签名的仿冒品,并非该公司官方的签名串,而是仿冒该公司数字签名串去申请了具有混淆特征的签名串。在今年4月份,360核心安全就发现了一起针对网易公司的签名仿冒攻击,仿冒的签名用于签发大量恶意样本,经过与网易官方沟通后已联系相关部门对该证书进行了吊销处理。

签名过期类是指恶意程序使用的数字签名为某公司官方使用过的相同数字签名,但其是在它使用的数字证书过期后进行签署的,所以正常系统将显示该签名过期,而如果修改系统的时间使其满足有效期则签名可显示正常。此类攻击相关可详见附录参考报告——过期签名“红颜”木马分析。


样本分析
本次捕获的样本,除了数字签名是真真切切的“网易”公司官方签名外,程序的外貌特征上面也做了一些掩饰,比如程序图标故意做成了IE浏览器的图标,文件版本信息伪装成了XShell软件的程序版本,此外文件名还取为“xitongjihuo”(系统激活)。


样本运行后,先解密远控模块,然后对其进行内存加载执行。解密的过程其实是比较简单的异或解密,解密key为0x0C,但是解密代码做了简单的反调试处理,采用主动抛异常的方式来分割解密流程。

容易发现解密出来的远控模块特意将程序头标志“MZ”抹成“00”,将其从内存转储成文件并修复格式之后发现是一个伪装成“音速启动”的dll模块,实则是个远控服务模块。

解密出该模块后,简单检查一下“PE”头标志后就进行内存加载执行,最终就调用Newserver.dll的入口点函数。

而Newserver.dll模块首次运行时会将xitongjihuo.exe注册成自启动类型的服务程序,并添加一个命令行参数“Win7”来启动木马上线流程,上线地址为“srv.war3secure.club:2018”。

连接上远程控制服务器后,该模块搜集系统版本、计算机名称、内存和磁盘等用户信息,将其压缩并添加头部标识数据后回传服务器进行上线,且在收到回包后每隔一小段时间往服务器发送一个字节的心跳数据来保持上线状态。

一旦远程控制服务器发起控制命令,木马模块将根据命令执行对应的控制代码,如下为部分控制分发流程。

总结
在安全形势日益严峻的今天,仅针对数字签名方面的攻击方式就千变万化。层出不穷的恶意签名样本在网络中传播,严重危害终端系统安全。攻击者的攻击覆盖软件的整个生命周期,无孔不入防不胜防。当整个供应链上的安全被逐一击破,安全软件作为整个生态链上终端系统的最后屏障,具备立体防护能力显得至关重要。

附录
HASH

参考链接
1、数字签名攻击报告:正在摧毁软件身份“信用体系”的安全危机:
2、风云再起,签名冒用引发信任危机:
3、过期签名“红颜”木马分析:


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
时空穿梭机
发表于 2018-10-16 17:08:30 | 显示全部楼层
360主动防御,问你一个事,360杀毒和360安全卫士,什么时候合并啊?电脑实在是装不了2个软件,太卡了,我都用Process Lasso优化电脑,啥时候360杀毒和360安全卫士合并的话,就用重新安装360的软件,多谢,求回复啊
ydgaga
发表于 2018-10-16 17:12:42 | 显示全部楼层
时空穿梭机 发表于 2018-10-16 17:08
360主动防御,问你一个事,360杀毒和360安全卫士,什么时候合并啊?电脑实在是装不了2个软件,太卡了,我都 ...

360和红伞合作了多少年了,是不是考虑取消合作了
时空穿梭机
发表于 2018-10-16 17:14:05 | 显示全部楼层
ydgaga 发表于 2018-10-16 17:12
360和红伞合作了多少年了,是不是考虑取消合作了

360应该不可能和小红伞的BD病毒库取消合作
ydgaga
发表于 2018-10-16 17:16:43 | 显示全部楼层
本帖最后由 ydgaga 于 2018-10-16 17:40 编辑
时空穿梭机 发表于 2018-10-16 17:14
360应该不可能和小红伞的BD病毒库取消合作

说实话,我对360很失望的,360卫士各种新闻(当然能关闭),360杀毒几年不更新了,现在都是小版本维护,上次动作大一点杀毒就有BUG了。等360卫士12,看看会不会有合并版本吧。我现在是火绒+腾讯软件管家(目前唯一的官方单独安装版本,只是软件管家没别的)
时空穿梭机
发表于 2018-10-16 17:19:50 | 显示全部楼层
ydgaga 发表于 2018-10-16 17:16
说实话,我对360很失望的,360卫士各种新闻(当然能关闭),360杀毒几年不更新了,现在都是小版本维护, ...

我也是,我对360是又爱又恨,老周都不知道有没有搞错的,不重视360杀毒,认为个人版不赚钱就不维护个人版杀毒了,我超级无语,所以如果360杀毒和360安全卫士合并的话,我倒是考虑在电脑重新安装360的软件,目前我在用火绒杀毒,挺安逸的,呵呵
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 03:45 , Processed in 0.132161 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表