IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

被攻陷的数字签名:木马作者冒用知名网络公司签名 - 安全客 - 有思想的安全新媒体

发布时间:2016-08-17 19:31文章来源:网络整理文章作者: 学习网点击次数:
近期360白名单分析组捕获到一批具有知名网络公司数字签名的木马,为了阻止木马的进一步危害,同时也为了提醒其他安全厂商,白名单组对本次事件进行了回顾。一、带知名公司签名的木马以下是最新捕获的某知名网络公

近期360白名单分析组捕获到一批具有知名网络公司数字签名的木马,为了阻止木马的进一步危害,同时也为了提醒其他安全厂商,白名单组对本次事件进行了回顾。

一、带知名公司签名的木马


以下是最新捕获的某知名网络公司数字签名的木马:

/uploads/allimg/c160817/14G4334a61110-13413.png

我们对木马相关作者进行了持续的关注与追踪,其大概的更新时间线如下:

http://p5.qhimg.com/t01ced776282e08519e.png

显然这些知名公司是不可能签发木马的,那么为什么木马会有知名公司的数字签名呢?这是一个让人困惑的问题,为了找到事件的根源我们进行了追踪。


二、伪造数字签名的原理


通过对比知名公司的文件和木马文件,发现两者数字证书的颁发机构不同。由于不同的颁发机构可以为同一家公司颁发证书,但是审核标准不一致,所以黑客就利用了这点成功申请了知名公司的数字证书。如下图所示:

http://p6.qhimg.com/t01e3bdd46efb20c5df.png

以某家颁发机构数字证书的申请流程为例,公司申请证书有两个必要条件:1. 单位授权书 2. 公对公付款。

http://p1.qhimg.com/t01e7479179eb6f0c9a.png

        

如此简单的审查,导致部分颁发机构给木马作者颁发了知名公司的数字证书。

对比Comodo、Thawte、Symantec几家数字签名机构,发现这三家机构需要一份公证面签书(就是当着公证员面签,并由公证处签章),这也间接导致不法分子更难申请到这些机构的数字证书。

于是黑客就利用了手中的数字签名,签发了大量木马文件,由于此类文件非常容易被加入到可信任文件列表,给用户带来了极大的危害。


三、伪造签名木马主要证书


以下是目前为止捕获到的伪造知名公司签发木马的证书:

http://p9.qhimg.com/t01b680e556903068bd.png

通过上面的表格,我们可以看到木马利用了相对容易申请的机构来申请数字证书,而且持续不断的签发木马程序。此次安全事件给数字签名机构敲响了警钟,审核过程需要更加严格。


四、带签名的木马基本行为


带有知名公司签名的木马,不但利用了正规的数字签名,还进行了白文件利用,手段极其老练和成熟,对此白名单组进行了深入的分析:

http://p0.qhimg.com/t0161cf7f87fcaabda9.png

安装包在d:\windows目录下释放两个文件

http://p0.qhimg.com/t0182d9b7031a7816e0.png

Auncher.exe是TX白签名文件

OutSupport.dll是暴风黑签名文件

通过TX文件的白利用,Auncher.exe调用OutSupport.dll中的导出函数G_SAEF

http://p8.qhimg.com/t017cd67281cb7c17e2.png

创建傀儡进程

http://p6.qhimg.com/t01fdac6f84199482b1.png

注入代码到notepad.exe中

http://p2.qhimg.com/t013288da59a3f3fccc.png

http://p3.qhimg.com/t01f6bfda2236b47c67.png

http://p2.qhimg.com/t01828b197c5e25c1c7.png

设置傀儡进程EIP

http://p4.qhimg.com/t011a1080f4162f56cd.png

http://p5.qhimg.com/t0140115eb2f8b214a2.png

最后在内存中执行木马程序。

以下就是整个流程:

http://p8.qhimg.com/t016c3f822fb1f6c0fe.png


五、杀毒的查杀


对于此类最新的利用审核机构审核不严格,伪造正规公司资料骗取合法签名并且签发的木马,360杀毒进行了第一时间的查杀。

http://p5.qhimg.com/t01323369b720aee98a.png


被攻陷的数字签名:木马作者冒用知名网络公司签名 - 安全客 - 有思想的安全新媒体
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/Article/others/jiami/409253.html

标签分类:

数字签名冒用 白名单程序被利用
上一篇:上一篇:'Shadow Brokers' 组织100万比特币(5.68亿美元)叫卖美国军方网络攻击工具(含视频) - 安全客 -
下一篇: 下一篇:使用EVENTVWR.EXE和注册表劫持实现“无文件”UAC绕过 - 安全客 - 有思想的安全新媒体
无觅关联推荐,快速提升流量