冒用数字签名的对抗:亟需加强的签名审核

前言

很多时候,杀毒软件都会对一个可执行程序的数字签名进行验证,而每个数字签名都配对着该可执行程序的Hash值,以防其它程序盗用这个软件的独有的数字签名,如下图所示:

早期的杀毒软件主要是通过软件的特征码进行来识别病毒和恶意软件,但是这个技术有个缺陷,就是软件的特征码是可以更改的。随后,杀毒软件又有了云查杀和行为查杀等功能。虽然杀毒软件的保护能力增强了,但是又出现了一个新的问题,就是误报。比如常见的,通过易语言编译的程序很容易遭到杀毒软件的查杀。还有一些软件的行为,也会被杀毒软件自动判定为病毒文件。所以大部分杀毒软件又增加了一道门槛,数字签名验校。如果一个程序有了知名公司官方的数字签名,那么该程序一般是不会被杀毒软件查杀的。

早在今年7月份,360白名单分析组捕获并查杀了一批具有知名公司签名的木马,并于8月中旬在国内首发分析报告 (被攻陷的数字签名:木马作者冒用知名网络公司签名)。在被360曝光之后,此类木马并没有销声匿迹,而是在默默地为中秋佳节的爆发做准备,木马作者冒用了新的证书,而且新的变种木马会伪装成图片以及私服等方式进行传播。360在第一时间对其进行了拦截和查杀,以下就是此类木马的演化过程:

一、 伪装成图片的木马

我们在之前的文章中介绍过此类冒用签名的木马,但最新捕获的木马更换了签名证书,同时更换了传播方式。

木马作者首先利用聊天工具给不同的人发送文件,由于文件具有知名公司签名,并且使用了诱惑性的文件名及图标,用户很容易在毫不知情的情况下点击木马而中招。

二、 伪装成私服

木马会冒用知名公司签名,并且伪装成流行私服的功能模块进行传播,此类木马因隐蔽性极高,将会给用户带来巨大损失。

伪装私服的传播来源:

木马冒用知名公司签名:

三、 木马冒用的知名厂商签名

以目前的情况来看,签名审核并没有得到加强,木马作者依旧可以通过某些途径获取知名公司签名。在签发木马的已知证书中少部分证书已被吊销,但大部分的签名依然有效。

四、 新签发木马的行为

在我们捕获到的这些新签发木马中,典型的执行流程如下:

木马采用大量混淆代码阻碍安全人员的分析,动态解密出dll,然后以PE LOADER的形式在内存中执行。

分配内存写PE信息到新内存:

解密后的DLL文件

接着调用该内存的DllMain函数,初始网络连接。

然后再调用导出函数UpdateService执行后续恶意行为。

在DLL中判断自身文件名是否包含taskhost.exe。

如果不是则复制木马到C:\Program Files\Common Files\8762eb81\taskhost.exe目录下。

接着调用CreateProcess创建taskhost.exe进程,执行后续的恶意行为。

taskhost.exe检测是否处于沙箱环境,,如果是则退出。

接着提升权限为后续恶意行为作准备

创建计划任务实现程序自启:

通过QQ朋友网接口来获取QQ个人相关信息,并通过其实现恶意行为开关

portraitCallBack({"847***126":["http://qlogo3.store.qq.com/qzone/847***126/847***126/100",100,-1,0,0,0,"色即是空",0]})

创建傀儡进程执行恶意代码:

成功运行后,创建线程接收远控指令.

五、 结语

虽然木马作者在费劲心思的冒用新的知名公司签名,并且对木马不断升级,同时借助节假日来临之际试图大量传播,360在第一时间进行了拦截和查杀,并且持续监控和追踪。

同时360提醒广大用户不要轻易下载和打开未知来源的文件,保持警惕以免造成不必要的损失。同时也希望各大证书颁发机构加强签名证书的管理及审核力度,避免给木马作者带来可乘之机。

*企业账号:360安全卫士,转载请注明来自FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2016-09-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏腾讯数据中心

数据中心柴油发电机组带容性负载能力技术研究探讨(上)

柴油发电机组在数据中心行业的特性应用场景下,容性带载能力及突加重载能力一直是行业研究和攻克的应用难题,腾讯IDC技术专家将从测试和技术研究的角度来剖析其中的奥...

554100
来自专栏Debian社区

Debian瞻前 微软顾后:安全改进是否会产生负面影响

在许多互联网领域,尤其是Web PKI和SSL/TLS行业中,我们大多生活在过去的决定中。脆皮密码、差强人意的协议设计以及不怎么标准的软件始终牵绊着前进的步伐。...

8820
来自专栏日暮星辰

关于免费SSL证书的那些事儿

根据 Let’s Encrypt CA 的统计,截至 2017 年 11 月,Firefox 加载的网页中启用 HTTPS 的比例占 67%,比去年底的 45%...

36730
来自专栏黑白安全

蓝牙加密配对漏洞曝光:请速更新操作系统或驱动程序

据外媒报道,最近曝出的一个加密错误(Crypto Bug),对苹果、博通、英特尔、高通等硬件供应商的蓝牙实施和操作系统程序都产生了较大的影响。其原因是支持蓝牙的...

16310
来自专栏FreeBuf

“移花接木”偷换广告:HTTPS劫匪木马每天打劫200万次网络访问

近年来,国内各大网站逐渐升级为HTTPS加密连接,以防止网站内容被篡改、用户数据被监听。但是一向被认为“安全可靠”的HTTPS加密传输,其实也可以被木马轻易劫持...

34250
来自专栏安智客

数字证书的存储和安全性

数字证书的产生、分发和存储 首先,让我们来回顾一下数字证书产生和分发的简要过程。一个网上用户怎样才能得到一张数字证书呢? ? CA将证书分发给用户的途径有多种...

372100
来自专栏Zchannel

关于免费SSL证书的那些事儿

25450
来自专栏区块链

数字证书的存储和安全性

数字证书的产生、分发和存储 首先,让我们来回顾一下数字证书产生和分发的简要过程。一个网上用户怎样才能得到一张数字证书呢? ? CA将证书分发给用户的途径有多种。...

331100
来自专栏程序员互动联盟

【计算机基本概念】硬盘

硬盘是电脑主要的存储媒介之一,由一个或者多个铝制或者玻璃制的碟片组成。碟片外覆盖有铁磁性材料。 硬盘有固态硬盘(SSD 盘,新式硬盘)、机械硬盘(HDD 传统...

28260
来自专栏安智客

CA基础知识

1、什么是数字证书?   数字证书就是解决"我是谁"的问题,就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样,以表明我们的身份或某种资格...

358100

扫码关注云+社区

领取腾讯云代金券