可能是escsvc.exe一个变种

Rukia

Yongji Xiaodong Network Technology Co., Ltd.
有效数签
VirusTotal - File - 09c576992c3a3fab93b52a7aadc21ac024438ae3137f30b534751f628da9d655

钓鱼网站
hxxps://sogo-shurufa[.]com/download[.]html
https://mdkdds.oss-cn-hongkong.a ... %A3%85%E5%8C%85.zip

源文件
https://wormhole.app/1zJY6b#EaCB4SycEdRqenlt7JNczg
解压密码：infected

心醉咖啡

360

莒县小哥

ulyanov2233

2025/9/11 10:03:54;文件系统实时防护;文件;C:\Users\kasperky\Downloads\搜狗拼音安装包\搜狗拼音安装包.exe;Suspicious Object;已通过删除清除;DESKTOP-RMLF8R4\kasperky;尝试通过应用程序访问文件时发生事件: C:\Program Files\ESET\ESET Security\egui.exe (7E34213DCE375D564B3E524E6BC2C078274050C2).;682F870E3254B5FB5043C54291D96A690D54E486;2025/9/11 10:03:28;;

图钉鱼

看来被滥用了，我高度怀疑攻击者有网安背景转灰产。有空写个检测脚本检测下.

同样的手法，写在证书表区。

Rukia

单纯上传文件，BD还是认为文件没有恶意

啧啧，难搞

00006666

外面这个签名应该是买的，正常的签名，除非CA公司吊销他，里面那个是篡改版，VT可以认。

00006666

图钉鱼 发表于 2025-9-11 10:50
看来被滥用了，我高度怀疑攻击者有网安背景转灰产。有空写个检测脚本检测下

篡改带签程序也不能直接运行，要用别的程序提取，就跟别的shellcode加密方法一样没有很大的区别。外面这个签名应该黑市买的，上报CA公司可能有机会吊销。

fever腾腾

毒霸 miss

图钉鱼

00006666 发表于 2025-9-11 12:55
篡改带签程序也不能直接运行，要用别的程序提取，就跟别的shellcode加密方法一样没有很大的区别。外面这 ...

不可能是买的外泄的签名，因为证书字段SignerInfo解析异常。
当前数字签名状态：
吊销状态: 正常。生效日期 <2025-09-08 11:35:45> 下一次更新 <2025-09-15 11:35:45>
这是从 OCSP/CRL 得到的“当前吊销状态”。“正常/Good”只表示“未被吊销”，不代表证书仍在有效期内。生效/下一次更新是这份状态数据的本次更新时间窗口（thisUpdate/nextUpdate）。
吊销状态“正常”：当前查询的 CRL/OCSP 也表明该证书没有被吊销（或至少未记录为吊销）。支持“签名在签名当时可被信任”的判断。
有效期从：2013-03-11 08:00:00 到 2016-03-11 07:59:59
这是该代码签名证书的自然有效期。现在已过期。


1.偷到或者买到数字证书后能把签署时间戳回溯到过去吗？
不能。可信时间戳由 TSA 决定，不能由签名者指定过去时间；只能在盗用期间取到“当前时间”的时间戳。
数字签名签署时间是联网校验，就算是失窃外泄用签名对文件进行签署也是服务器时间。无法倒签时间戳和伪造时间。这个样本数字签名时间是2015年1月，时间验证通过！


2.证书有效期到‎2016‎年‎3‎月‎11‎日 07:59:59，为什么现在2025年了还显示证书有效？
过期≠无效
该文件的数字签名带有受信任时间戳。Windows 验证时并不是按“当前时间”看证书是否过期，而是按“时间戳服务器给出的签名当时的时间”评估证书链。因此只要时间戳在证书有效期2013-03-11 至 2016-03-11 之间签署经TSA服务器验证通过且当前经过服务器联网校验未发现更早的吊销/不信任信息，签名就依然判定为“有效”。即便证书本身早在 2016-03-11 已过期。因此在证书自然到期后，经服务器验证后的签名仍保持有效性（长期有效），除非被吊销/不信任。

Windows 的代码签名信任链里，真正起作用的是“受信任时间戳服务器（TSA）签发的时间戳”，时间由 TSA 决定，签名方无权指定。
没有受信任时间戳时，Windows 验证使用“当前时间”评估证书有效性；即证书过期/被吊销后，签名会随之失效。
想把签名时间回溯几年以躲避证书过期/吊销，只有两条路：要么控制/勾结一个被系统信任的 TSA（现实中极其困难且受审计），要么让目标机器信任你的自建 TSA（等价于篡改信任根，现实场景不成立）。否则做不到。
校验是否需要联网：签名与时间戳生成需要联网访问 TSA；验证阶段为确认吊销状态与时间戳链通常也需要联网（CRL/OCSP/证书链下载），离线时只能给出“状态未知”或按策略宽松处理。

例外：
证书或链被微软“Disallowed”名单标记不信任、企业 WDAC/策略明令阻断、时间戳链不被信任，都会导致验证失败。
离线环境或禁用吊销检查时，可能显示“有效（吊销状态未知）”，联网后结论可能变化。


综上，可以排除证书被盗/被卖的可能~
还有一个需要另一个程序提取带有效数字签名文件内容，然后加载运行等于一个无信誉程序读取数字签名文件后，无信誉程序运行从数字签名中的内容，这时候在安全软件眼里，有区别？没意义，这个精心构建的数字签名有何作用？



用户运行被篡改的搜狗拼音安装包.exe，安装包释放toolsps.exe、5.exe、defaultpack.exe到c:\escsvc；
toolsps.exe带命令行参数，参数主要检查360进程，若未检测到则启动5.exe；
toolsps.exe解密3.txt并执行，触发.NET动态编译（csc.exe+cvtres.exe）；
reg.exe查询HKEY_CURRENT_USER\wss，存储受害主机的分组/备注信息；
defaultpack.exe启动mshta.exe，执行escsvc.exe    命令行:C:\escsvc\defaultpack.exe /C:"MSHTA C:\escsvc\escsvc.exe"；

大概简化为：
一个买来有效数字证书签署了搜狗拼音安装包.exe，搜狗拼音安装包.exe释放了多个文件，可执行文件都是带有效签名的；然后通过命令行参数传递恶意命令解密编译，投毒；因为父进程是有效数字签名文件，且子进程也是有效数字签名文件，所以会继承高可信度。。。
escsvc.exe中内嵌的恶意代码和3.TXT恶意代码基本一致，暂不清楚具体意图。