导语:近期,360核心安全团队独家监测到“签名冒用”的新动向,颁发机构除了之前披露的Go Daddy和Starfield Secure两家,知名的老牌CA厂商赛门铁克、Verisign和DigiCert也相继沦陷。

前言

近期,360核心安全团队独家监测到“签名冒用”的新动向,颁发机构除了之前披露的Go Daddy和Starfield Secure两家,知名的老牌CA厂商赛门铁克、Verisign和DigiCert也相继沦陷。而被冒名顶替的签名主体都是一些大家耳熟能详的公司例如北京方正、中望CAD、数码大方、京东、恒生电子、IBM等等,被签名的程序也是五花八门,从捆绑木马的常用软件,到团伙之间互相对抗的模块(黑吃黑),再到如今诱导安装的钓鱼远控,几乎囊括了国内软件黑产链上的所有环节。它们赖以生存的护身法宝就是这些知名公司的数字签名,但是实际上这些被假冒签名的知名公司可能都毫不知情,名头太大反而无端躺枪,真假美猴王再次上演一波大型的信任危机。

事件回顾

下图是数字签名冒用的对抗史,360对此类攻击事件进行持续对抗并率先全面查杀。

图片16.png

对“签名冒用”这类攻击方式的历史事件进行回顾:

2016年8月份,360首次发现了冒用知名公司“美图”、“暴风影音”等数字签名的木马并发布了披露报告。

2016年9月份,360监测到更多知名的公司如“浙江翼信”、“可牛”等签名被用于签发大量诱导性木马在外传播。

2017年8月份,360持续监控和追踪冒用知名游戏公司“竞技世界”、“上海天游”等签名的私服程序通过大量的网站捆绑分发,用来劫持网络流量。

2018年7月份,360再次独家发现使用新颁发机构进行签名冒用的远控木马程序通过钓鱼网站进行传播。

数据统计

从历史攻击事件的回顾中可以看出,该类攻击从未停止并且在不断的变化升级。今年,数字签名冒用再度爆发,木马团伙为躲避监控特意更换了签名颁发机构。以下是360监测该类攻击样本的传播数量统计,累计总量已经上万,分别在2017年3月份和2018年3月份有两波较为明显的增幅。

图片17.png

从数字签名的维度上看,事件最开始是由Go Daddy签发“美图”、“暴风”、“酷我”、“京东”等多家知名公司的数字证书,该颁发机构签发的“假”证书也是占比最大。后来发现知名颁发机构“赛门铁克”也开始出现冒用的签名,典型的有冒用“恒生电子”公司签发私服劫持程序。直到今年,再次发现美国老牌的CA机构“DigiCert”也开始沦陷,由签名冒用引发的信任危机再度爆发。

图片18.png

案例分析

以今年最新冒用签发的木马为例对本次事件进行分析。作案团伙传播木马的方式有很多,比如常见的有通过IM工具发送给受骗者诱导其运行,或者通过钓鱼网站来诱骗浏览者运行木马,本文以后者为例。

以下是木马作者精心制作的一个电子产品相关的信息网站首页,访问该页面后会直接弹出新建下载任务的提示。

图片19.png

考虑到上面的弹窗失败率可能会比较高,于是木马作者对该网站进一步改造,当访问者想要查看具体的产品信息页面时,故意在页面上不显示产品图片,反而弹出以下诱导信息:

图片20.png

如果此时还不上当,就再诱导一次用户直接弹出下载框,并且后续每点击一个产品页面都将重复运行以下代码:

图片21.png

既然最终的诱导都希望我们下载这个所谓的“图片显示驱动”程序,我们就来看看它的真面目吧。下载后发现该程序具有正常的数字签名,签名的主体是知名互联网公司“北京数码大方科技”(CAXA Technology CO.,LTD.)。这里需要注意的是,此数字签名并非该公司的官方签名,而是冒用了该公司信息从其他颁发机构(“DigiCert CA”)申请而来的,非常具有欺骗性。

图片22.png

分析下载的“图片显示驱动”程序,该样本实际上是个木马“下载者”程序,运行后将连接远程服务器下载木马模块。连接的服务器地址为“www.yiwotech.cn:443”:

图片23.png

接着程序将自身文件名和哈希值等信息加密后回传服务器,只有当服务器验证成功后才会返回木马模块的下载地址,进一步下载执行后,木马模块将在“C:\Windows\Appp”目录下释放并启动两个程序:ScLauncher.exe和TIM.EXE。这两个程序实际上是一组常见的“白利用”木马模块,ScLauncher.exe是正常的QQ官方启动程序,本身没有任何恶意代码;然而运行该程序后没有经过验证将直接启动同目录下的木马模块TIM.EXE,该模块会启动一个wextract.exe作为傀儡进程来运行远控木马,整个进程链启动关系如下所示:

图片24.png

在木马模块TIM.EXE启动傀儡进程wextract.exe时将远控木马模块从内存中dump出来进行分析,该模块是一个加了压缩壳的EXE可执行程序,调试运行后可以看到其直接连接远程控制服务器“tong.jinjingltsh.top:2018”:

图片25.png

最后进入接收指令的流程执行远程控制命令,包括常见的开启远程桌面、下载执行任意程序等功能,至此作案团伙可远程随意操控受害用户的电脑。

图片26.png

本次事件涉及3个知名公司签名,分别是冒用了“北京方正”、“中望CAD”和“数码大方”的信息,均是从新的颁发机构“DigiCert”申请的有效签名,主要用于签发大量的诱导性远控木马程序,少部分为游戏辅助程序和黑客工具等。

图片27.png

结语

签名冒用攻击出现以来,冒用签名数量不断的增多且攻击的目标不断变换。2016年通过冒用“暴风影音”开始签发木马,2017年主要以签发劫持类私服程序为主,直到2018年木马团伙又改变了颁发机构和数字签名,采用更加隐蔽的方式传播远控程序。被冒用的签名表面上都是正常有效的“大公司”签名,私下里正在被木马团伙用来签发任意的恶意程序和木马,成为突破当前安全防护体系的一道护身符,安全形势越发严峻,越来越多的用户和组织成为了被攻击的目标。木马团伙仍不断的发现和利用新的系统漏洞作为网络武器来谋取利益。对此,360已率先改善自身的防护体系,全面查杀此类病毒木马。同时也呼吁,相关的签名颁发机构加强审核机制 ,避免此类事件再次发生。

附录

从2016年开始至今发现的已知被冒用的签名及对应的颁发机构列表如下:

图片28.png

参考:

1、被攻陷的数字签名:木马作者冒用知名网络公司签名:

https://www.anquanke.com/post/id/84413 

2、冒用数字签名的对抗:亟需加强的签名审核:

http://www.freebuf.com/articles/paper/114502.html 

3、偷天换日:2017签名冒用大追踪:

https://www.anquanke.com/post/id/86665 

4、数字签名攻击报告:正在摧毁软件身份“信用体系”的安全危机:

http://www.freebuf.com/articles/network/146274.html 

源链接

Hacking more

...