?

Sep 03 2016

“百家”木馬集團第二彈:冒領數字簽名

首頁 » 業界見聞 » “百家”木馬集團第二彈:冒領數字簽名   

0×00 背景

前段時間,騰訊反病毒實驗室曝光了一批通過文件名控制木馬行為的“百家”木馬[1],該木馬存在于某些安全軟件白名單中,隨后我們對該木馬進行深入的分析挖掘,發現了其另一種入白方式——冒領數字簽名(即通過偽造公司資料,向簽名機構申請知名公司數字簽名證書)。

發現此情況后,騰訊電腦管家第一時間與相關公司聯系,最終確認這些數字證書并非他們申請,并通過官方微博率先發布不法分子偽造資料申請知名網絡公司數字簽名的安全預警。[2]

 1.jpg

 

 

0×01 木馬描述

惡意的數字證書主要被用來給以“百家”木馬集團為主的文件簽名,目前騰訊反病毒實驗室監控到的簽名文件多達數百個,數字證書十多個,該系列木馬的行為與我們之前分析的“百家”木馬集團對應的部分id行為一致,主要為gh0st變種的遠控木馬,通訊數據包格式也完全一致,可判定為同一作者所為。

目前發現的證書簽名頒發機構有:starfield secure certification authority、go daddy secure certification authority兩家,頒發的數字證書多達十余個。以下是部分帶簽名的木馬文件信息。

2.jpg3.jpg

 

以下任取一個做簡單分析:(MD5:751c7367fbe8da07f40b9b7ade1af83a)

0×02 木馬行為

1、設置啟動項,由于木馬具有知名公司數字簽名,大多安全軟件不會攔截。

4.jpg

2、解密出一個PE文件,創建傀儡進程notpad.exe執行解密出的PE文件。

 

5.jpg6.jpg

 

3、在傀儡進程中聯網,C&C地址為www.yul***ma.com,端口為7099。

7.jpg

4、該木馬為gh0st源碼修改而來,通訊數據包格式等與我們之前發現的“百家”木馬集團一致。

8.jpg

0×03 木馬作者

通過“百家”木馬的傳播路徑、域名等信息進行探索排查后,找到了該遠控木馬的銷售網站http://***ijia.com,通過該網站可知道該遠控的開發和銷售相關人員。通過與之聯系,獲取到了試用版的木馬,經對比,確認與帶數字簽名樣本一致。

9.jpg

 

數字簽名證書,被作為官網的一個宣傳點。

10.jpg

 

木馬銷售價格,定制版每月高達5000元,與數字證書的價格相比,簡直一本萬利。

11.jpg

通過相關信息,還可以在網絡中找到該作者的手機號碼等聯系方式。通過其發的一些帖子,可以發現該作者不僅做PC版遠控,還有意做手機版遠控。

12.jpg

 

 

通過其空間也可找到作者的手機號碼。

13.jpg

 

得知該手機號碼后,可通過某些軟件查到作者的名字。


14.jpg15.jpg

 

 

通過一些第三方軟件和網站,可進一步確認這些信息的對應關系。

0×04 后記

曾幾何時,數字簽名是可信、安全的代名詞,也是安全軟件判斷樣本安全的重要依據,而后隨著數字證書的濫發,大量隨意申請的數字證書被用來給惡意程序簽名。安全廠商不得不對數字簽名的公司做篩選,而不再全盤信任。如今又出現偽造資料申請知名公司數字證書的案例,數字證書頒發機構是否也應該更嚴格把控證書申請和審核程序呢?目前,在相關公司的努力下,部分數字證書已經被吊銷,相關樣本和資料作為法律維權的重要證據也已同步給相關公司。

16.jpg

 

 

引用資料:

[1]“百家”木馬集團分析

[2]不法分子偽造知名網絡公司資料成功申請數字簽名

*本文作者:騰訊安全管家(企業賬號),轉載請注明來自FreeBuf黑客與極客(FreeBuf.COM)

 

 

如果您喜歡本博客,歡迎點擊圖片定訂閱到郵箱填寫您的郵件地址,訂閱我們的精彩內容:

正文部分到此結束

文章標簽: 百家木馬集團

版權聲明:若無特殊注明,本文皆為( mOon )原創,轉載請保留文章出處。

也許喜歡: «Linux netfilter OOB root提權漏洞分析 | 一個文件,百種名稱,百種行為:“百家”木馬集團分析»

你腫么看?

你還可以輸入 250/250 個字

? 微笑 大笑 拽 大哭 親親 流汗 噴血 奸笑 囧 不爽 暈 示愛 害羞 吃驚 驚嘆 愛你 嚇死了 呵呵

評論信息框

這篇文章還沒有收到評論,趕緊來搶沙發吧~

?
?
河北11选5开奖