信息來(lái)源���;4hou
ESET研究人員發(fā)現(xiàn)一款濫用竊取的數(shù)字證書(shū)的惡意軟件活動(dòng)���。系統(tǒng)中的安全軟件將惡意軟件活動(dòng)中的許多協(xié)議標(biāo)記為可疑的(suspicious)���。但這些被標(biāo)記的文件使用的是有效的D-Link公司代碼簽名證書(shū)。完全同樣的證書(shū)之前也被用于對(duì)非惡意頂D-Link軟件進(jìn)行簽名���;因此���,證書(shū)貌似被竊取了。
在確認(rèn)了文件的惡意本質(zhì)后���,研究人員通知了D-Link���,然后D-Link自己對(duì)該事件進(jìn)行了分析。2018年7月3日���,D-Link撤銷(xiāo)了被黑的數(shù)字證書(shū)���。
圖1. 用于對(duì)惡意軟件簽名的 D-Link代碼簽名證書(shū)
惡意軟件
分析發(fā)現(xiàn)兩個(gè)濫用被竊證書(shū)的惡意軟件家族,Plead是一個(gè)遠(yuǎn)程控制的后門(mén)和相關(guān)的密碼竊取組件���。最近JPCERT發(fā)布了對(duì)Plead后門(mén)的深度分析���,Trend Micro分析稱���,Plead是網(wǎng)絡(luò)監(jiān)控組織BlackTech使用的惡意軟件。
圖2. 用于對(duì)惡意軟件簽名的Changing Information Technology代碼簽名證書(shū)
根據(jù)用D-Link證書(shū)簽名的Plead樣本���,ESET研究人員識(shí)別了一些用屬于臺(tái)灣安全公司Changing Information Technology的證書(shū)簽名的樣本���。雖然BlackTech組織使用Changing Information Technology的證書(shū)來(lái)簽名,但早在2017年7月4日���,該證書(shū)就被撤銷(xiāo)了���。
黑掉許多臺(tái)灣科技公司并使用代碼簽名證書(shū)用于未來(lái)的攻擊���,表明該組織攻擊能力非常強(qiáng)���,并且重點(diǎn)攻擊區(qū)域就是臺(tái)灣。
簽名的Plead惡意軟件樣本還用一些沒(méi)有用的樣本進(jìn)行混淆了���,但是惡意軟件的目的與其他樣本是相似的:從遠(yuǎn)處服務(wù)器中下載���,然后在本地打開(kāi)一個(gè)加密的二進(jìn)制大對(duì)象���。該二進(jìn)制大對(duì)象含有加密后的shellcode,這是從最后的Plead后門(mén)模塊去下載���。
圖3. Plead惡意軟件的混淆后的代碼
密碼竊取器是用來(lái)收集下面列表中應(yīng)用保存的密碼:
· Google Chrome
· Microsoft Internet Explorer
· Microsoft Outlook
· Mozilla Firefox
為什么要竊取數(shù)字證書(shū)���?
濫用數(shù)字證書(shū)是網(wǎng)絡(luò)犯罪分子嘗試隱藏惡意目的新方法之一,因?yàn)楦`取的證書(shū)會(huì)讓惡意軟件看起來(lái)是合法的���,這樣有很大概率會(huì)繞過(guò)安全軟件的檢測(cè)���。
目前使用竊取數(shù)字證書(shū)最臭名昭著的惡意軟件應(yīng)該是2010年發(fā)現(xiàn)的Stuxnet蠕蟲(chóng)。Stuxnet使用的是竊取自RealTek和JMicron的數(shù)字證書(shū)���,這兩個(gè)公司也是臺(tái)灣的著名科技公司���。
