关键词:数字签名|信息|样本|关联分析|木马病毒|远控

对于在合理个人数字证书内嵌入远控木马病毒数据分析报告中的数字签名有关详细介绍

  • 时间:
  • 浏览:24

对于在合理个人数字证书内嵌入远控木马病毒数据分析报告

文章内容文件目录

一、概述二、数字签名有关详细介绍三、样本解析四、实例样本的关联分析五、此次恶性事件中的数字签名六、小结七、IOC信息MD5DOMAIN & IPURL

一、概述

前不久,瑞星安全性研究所捕获到一批最新消息的病毒感染样本,在其中一部分样本内含有合理的数字签名,且签名者名字与世界各国一些著名生产商一致。因为病毒感染创作者应用了“白加黑”被劫持、系统进程引入、本身含有的合理的数字签名及其向系统软件导进自做根证书以内的多种形式来避开电脑杀毒软件的杀毒,故没办法被觉察,一旦有受害人有没有中招,将被嵌入“大灰狼”远程操作木马病毒,电脑上内关键商业秘密信息及数据信息就会被盗取,而且电脑上将被病毒感染创作者操纵。

大家都知道,数字签名是确保信息传送一致性、真实有效、安全系数及身份验证的一个认证方法,被广泛运用金融机构、智慧政务及电子器件协议书等互联网技术行业,但近些年却持续被犯罪分子所运用,变成犯罪分子谋取私利的专用工具。

据瑞星安全性医生介绍,假如清除掉数字签名资格证书公钥失窃的状况下,最有将会出現这样的事情的缘故,就是说网络攻击根据仿冒企业资料,向资格证书授予组织申请办理数字签名,而资格证书授予组织审批关不紧得话就会根据这一申请办理,网络攻击就会获得合理的数字签名。因而,提议授予组织应以此为戒,提升对数字签名资格证书的申请办理审批幅度,严防犯罪分子有机会。

图:捕捉的一部分样本

二、数字签名有关详细介绍

在Windows系统软件中,一个含有合理数字签名的文档一般 代表这一文档的来源于是可靠的,不包括恶意程序。

图:微软公司IE电脑浏览器子程序附加的数字签名

可是在下列二种状况下,相匹配的数字签名将已不最该被信赖:

1.数字签名拥有人沒有妥当存放签字用的公钥,造成资格证书泄露或是被网络攻击盗取。然后网络攻击用该资格证书为自己制做的恶意程序签字,签字将一样合理,而且文档内签字展现的信息与该企业有着的资格证书签定后的文档内签字展现的信息完全一致。经典案例就是吃惊全世界的进攻伊朗核设备的“震网”病毒感染,网络攻击应用了瑞昱企业的数字签名为故意驱动器开展签字。

2.资格证书授予组织审批关不紧,网络攻击向资格证书授予组织递交仿冒的企业资料(一般 仿冒的企业全是一些著名企业),资格证书授予组织向网络攻击授予了签有该企业信息的数字签名。然后网络攻击用自身申请办理来的资格证书为自己制做的恶意程序签字,签字一样合理,而且文档内签字展现的信息与该企业有着的资格证书签定后的文档内展现的信息沒有显著区别。

三、样本解析

下列选择在其中一个样本做一个简易的解析:

图:进攻步骤

1、样本浏览故意网站www.bitttorrrentinc.com,免费下载并破译favicon.jpg。

名字点评意见反馈.exeMD55105E7547FE4B207867107E116E92120签定者名字BitTorrent Inc授予者thawte SHA256 Code Signing CA

表:样本信息

2、破译favicon.jpg将会释放出来6个文档:在C:\Windows文件目录中释放出来logo.jpg,FreeSty.exe和TrustedCert.cer。在C:\$RecycleBin$文件目录中释放出来LogiDPPApp.exe,ISWUPD.dll和ISWUPD.log。网络攻击运用这种文档来实行导进根证书,白加黑实行大灰狼远控木马病毒等故意实际操作。下列是深入分析:

1)开启在C:\Windows文件目录的中鱼饵照片logo.jpg,照片显示信息的是某一商品的点评网页页面。

图:鱼饵照片

2)导进根证书:运行命令C:\Windows\FreeSty.exe -add -c C:\Windows\TrustedCert.cer -s -r localMachine root。此实际操作实行完后删掉C:\Windows\FreeSty.exe和C:\Windows\TrustedCert.cer。

名字FreeSty.exeMD55D077A0CDD077C014EEDB768FEB249BA初始文件夹名称CERTMGR.EXE

表:FreeSty.exe信息

名字TrustedCert.cerMD5895D11E97BA437535234F1D7CFC2EC61

表:TrustedCert.cer信息

图:FreeSty.exe

图:TrustedCert.cer

3)运用“白加黑”的方法实行“大灰狼”远控木马病毒:运作LogiDPPApp.exe让其载入平级文件目录下的ISWUPD.dll,该DLL将应用zlib inflate优化算法缓解压力ISWUPD.log并开展运行内存载入。ISWUPD.log文件解压后为“大灰狼”远控木马病毒,C2详细地址为www.bitttorrrentinc.com,服务器端口是55763。

名字LogiDPPApp.exeMD52E7160CC15E86479EACEF09092C6EFAE签定者名字Check Point Software Technologies Ltd.授予者VeriSign Class 3 Code Signing 2004 CA

表:LogiDPPApp.exe信息

名字ISWUPD.dllMD567A71D8E4299399F87113B5035426ECE签定者名字ASUSTeK Computer Inc.授予者ASUSTeK Computer Inc.备注名称被网络攻击自做的证书签名,将以前的根证书导进以后该文档的数字签名将在被感柒设备上验证通过

表:ISWUPD.dll信息

四、实例样本的关联分析

根据在瑞星內部数据库查询开展查找,人们发觉了与所述样本个人行为基本上完全一致的样本,该样本于2019年11月中下旬捕捉,一样含有合理的数字签名。

名字logo.scrMD5DBEE6A79C7127C0CB7B8571A289BE33D签定者名字Fujian NetDragon Computer Network Information Technology Co.,Ltd授予者thawte SHA256 Code Signing CA

表:样本信息

而根据所述样本的C2详细地址,人们又找到一枚一样含有数字签名的样本(签字现阶段已被注销)。尽管进攻的全部步骤相比以前谈及的样本有很大差别,但最后实行的恶意程序依然是“大灰狼”远控木马病毒。

名字sadas.exeMD5DB02BE467088B6ADBC1D2276203875AC签定者名字JRiver, Inc.授予者thawte SHA256 Code Signing CA备注名称资格证书已被授予者立即注销

表:样本信息

五、此次恶性事件中的数字签名

所述样本均包括数字签名,并且数字签名的签名者名字均为世界各国的一些著名企业,一部分样本的数字签名现阶段还是处于合理情况。在清除掉资格证书公钥失窃的状况后,出現这样的事情的缘故,只有是网络攻击根据仿冒企业资料,向资格证书授予组织申请办理数字签名,另外资格证书授予组织审批关不紧,为网络攻击授予了有关企业的数字签名。

图:3个样本的数字签名信息

以第一个样本为例,被网络攻击假冒的企业是BitTorrent Inc,人们从在网上找到μTorrent的官方网安装文件开展比照。由下面的图所知,差别关键是资格证书授予组织及其申请办理时填好的电子邮箱地址。

图:假冒申请办理的签字与一切正常签字的比照

人们发觉所述3个样本的数字签名的授予组织均为thawte,一家名叫天威诚信的CA企业。官方网站详细介绍为:Thawte 为 1996 年 1 月开设的商业服务 CA,发展趋势到 1999 年占 40% 市场占有率,1999 年末/ 2000 今年初 VeriSign 以 5.76 亿美金回收 Thawte,Thawte 变成了 VeriSign 的控股子公司。2010年5月Symantec回收VeriSign;·现阶段,Symantec两者之间合作方天威诚信相互推动中国资格证书的发展趋势。根据此次病毒感染恶性事件体现出该企业资格证书的授予审批存有一定的难题。

图:天威诚信官方网站截屏

六、小结

在2016年的那时候中国就曾出現过仿冒材料申请办理著名企业数字签名的实例,而来到如今,数字签名被用以签定恶意程序的状况不但沒有改进反倒越来越激烈,含有合理数字签名的恶意程序愈来愈多。不但给资格证书授予组织打响了警醒,提升对申请证书的审批早已刻不容缓,也让我们这种安全性生产商提了个醒,合理的数字签名不可以再再次做为判断一个文档是不是安全性的重要环节。

七、IOC信息

MD5

1EB02A2793DAEF8A93093F1F7AF6C7B6 

6812E4C81089A69299CB232018AD16E3

7EE0100781525B2B56F6D7426EABE453

67A71D8E4299399F87113B5035426ECE

B10060B26C9C5928F57B03B99753EE0F

A29F74C25AD957E355874A5F**BB0A2C 

95A01AD93515A5232FBC6D9744F475E2

DBEE6A79C7127C0CB7B8571A289BE33D 

DB02BE467088B6ADBC1D2276203875AC 

FED6BE562088B851B83E2E872ACBE407 

895D11E97BA437535234F1D7CFC2EC61 

5105E7547FE4B207867107E116E92120

DOMAIN & IP

www.bitttorrrentinc.com www.ycwave.cn www.yigepai.cn 143.92.59.10 103.82.54.138

URL

hxxp://www.bitttorrrentinc.com/favicon.jpg hxxp://www.yigepai.cn:5543/数据加密.jpg hxxp://www.ycwave.cn:5543/NetSyst96.dll

猜你喜欢