近期360白名單分析組捕獲到一批具有知名網路公司數字簽名的木馬,為了阻止木馬的進一步危害,同時也為了提醒其他安全廠商,白名單組對本次事件進行了回顧。
一、帶知名公司簽名的木馬
以下是最新捕獲的某知名網路公司數字簽名的木馬:
我們對木馬相關作者進行了持續的關注與追蹤,其大概的更新時間線如下:
顯然這些知名公司是不可能簽發木馬的,那麼為什麼木馬會有知名公司的數字簽名呢?這是乙個讓人困惑的問題,為了找到事件的根源我們進行了追蹤。
二、偽造數字簽名的原理
通過對比知名公司的檔案和木馬檔案,發現兩者數字證書的頒發機構不同。由於不同的頒發機構可以為同一家公司頒發證書,但是審核標準不一致,所以黑客就利用了這點成功申請了知名公司的數字證書。如下圖所示:
以某家頒發機構數字證書的申請流程為例,公司申請證書有兩個必要條件:1. 單位授權書 2. 公對公付款。
如此簡單的審查,導致部分頒發機構給木馬作者頒發了知名公司的數字證書。
對比comodo、thawte、symantec幾家數字簽名機構,發現這三家機構需要乙份公證面簽書(就是當著公證員面簽,並由公證處簽章),這也間接導致不法分子更難申請到這些機構的數字證書。
於是黑客就利用了手中的數字簽名,簽發了大量木馬檔案,由於此類檔案非常容易被加入到可信任檔案列表,給使用者帶來了極大的危害。
三、偽造簽名木馬主要證書
以下是目前為止捕獲到的偽造知名公司簽發木馬的證書:
通過上面的**,我們可以看到木馬利用了相對容易申請的機構來申請數字證書,而且持續不斷的簽發木馬程式。此次安全事件給數字簽名機構敲響了警鐘,審核過程需要更加嚴格。
四、帶簽名的木馬基本行為
帶有知名公司簽名的木馬,不但利用了正規的數字簽名,還進行了白檔案利用,手段極其老練和成熟,對此白名單組進行了深入的分析:
安裝包在d:\windows目錄下釋放兩個檔案
auncher.exe是tx白簽名檔案
outsupport.dll是暴風黑簽名檔案
通過tx檔案的白利用,auncher.exe呼叫outsupport.dll中的匯出函式g_saef
建立傀儡程序
注入**到notepad.exe中
設定傀儡程序eip
最後在記憶體中執行木馬程式。
以下就是整個流程:
五、防毒的查殺
對於此類最新的利用審核機構審核不嚴格,偽造正規公司資料騙取合法簽名並且簽發的木馬,
360防毒進行了第一時間的查殺。
數字簽名的驗證
通常的我們在軟體發布前要對binary dll,exe 進行數字簽名,數字簽名可以標識軟體的發布商,也可以通過數字簽名來檢查此軟體是否被修改或受病毒影響。sigcheck是來自sysinternals的數字簽名驗證工具,可以檢視指定的檔案或目錄下的哪些檔案沒有數字簽名。此工具是命令列工具,可以用來批...
數字簽名的驗證
通常的我們在軟體發布前要對binary dll,exe 進行數字簽名,數字簽名可以標識軟體的發布商,也可以通過數字簽名來檢查此軟體是否被修改或受病毒影響。sigcheck是來自sysinternals的數字簽名驗證工具,可以檢視指定的檔案或目錄下的哪些檔案沒有數字簽名。此工具是命令列工具,可以用來批...
數字簽名的步驟
數字簽名的步驟 一般是對一段有意義的資料進行簽名。這端資料可以是乙個檔案,可以是一段資料,對資料的格式和內容沒有要求。然後對該段資料進行hash。然後再進行簽名操作,簽名操作是使用私鑰進行的。傳送方將簽名附在原文的末尾 放在開頭和末尾不做要求 接收方收到資料後,對簽名進行驗證。但是此時使用的是公鑰進...