數字簽名是網絡世界信息文檔的「身份證」,可當「身份證」被不法分子冒用,萬千用戶所面臨的危險可想而知。安全
近日,360安全大腦獨家發現冒用數字簽名的網絡攻擊再度活躍,且繼此前360安全大腦披露過的Go Daddy、Starfield Secure、賽門鐵克、Verisign和DigiCert等國際知名CA證書頒發機構,Sectigo RSA Code Signing CA紛紛淪陷,成爲不法攻擊者冒用的新目標。服務器
與以往披露信息略顯不一樣的是,這次發現的數字簽名冒用活動,均爲Disc soft 盤軟、SRS labs inc音頻技術等境外公司,且簽名程序袖裏藏刀。釋放白利用文件,藏身正常程序,博彩網站誘導釣魚三管齊下,上演了又一場大型信任危機。網絡
冒用數字簽名以假亂真工具
「亂世木馬」或捲土重來網站
從360安全大腦近期捕獲的冒用數字簽名樣原本看,冒用的數字簽名可能是公司官方註冊的數字簽名串。在冒用方式上,木馬做者主要經過僞造公司資料向簽發機構申請數字證書,而這也就致使驗證簽發證書樣本時,雖顯示爲正常簽名信息,實際卻爲木馬程序的狀況。spa
在梳理捕獲的冒用數字簽名樣本後,360安全大腦發現多以國外知名公司爲主,且數字簽名均由「Sectigo RSA Code Signing CA」簽發機構頒發。3d
須要注意的是,360安全大腦在捕獲樣本中發現,部分冒用數字簽名會釋放一組白加黑程序,其中dll文件就是木馬,具體示例以下圖中QLMainModule.dll文件。blog
在釋放白加黑程序的數字簽名冒用樣本外,還有部分會在正常軟件中加入或替換一劫持的DLL模塊,從而在捆綁木馬後,進行二次打包並打上數字簽名,最終將木馬安裝包假裝成正常軟件。進程
對上述兩種打包方式的木馬進行分析後,360安全大腦確認,這次冒用數字簽名擴散的木馬系「亂世」木馬家族。在具體感染路徑上,本次的木馬會在釋放文件後,調用白文件加載木馬dll,並建立C:\\Windows\\System32\\wextract.exe進程,向該進程注入遠控客戶端執行。接下來,就會鏈接遠程控制服務器「dyx.yxwza.org」,並根據接收的控制碼執行相應操做。至此,不法分子可在服務端遠程隨意操控受害者電腦。文檔
聊天羣精準投「毒」
溯源揭穿木馬做惡老底
綜合來看,不法分子冒用數字簽名,一方面是用於簽發誘導性木馬程序,另外一方面則是簽發捆綁木馬程序。360安全大腦對木馬進行溯源後發現,誘導釣魚類程序主要在IM 即時聊天工具上傳播,捆綁木馬類程序則主要在博彩網站上傳播。
利用IM 即時聊天工具出擴散木馬時,木馬做者會將假裝程序定向投放到我的用戶或各種聊天羣,以工做資料和工具文件爲名,誘導特定人羣點擊運行。
至於經過博彩網站進行傳播的捆綁木馬類程序,則是以釣魚的形式進行擴散,當用戶登錄後會誘導用戶下載安裝木馬程序。
須要注意的是,360安全大腦溯源發現,該木馬做者會在網絡售賣遠控木馬,且持續更新exe、chm等免殺木馬和控制端功能。下圖是木馬做者發佈在我的空間,部分控制受害用戶電腦的效果圖。
簽名冒用層出不窮
360安全大腦強勢出擊
近年來,簽名冒用攻擊層出不窮,不法分子不斷更換新的數字簽名和頒發機構做惡的背後,給數字簽名帶來了極大的信任危機。從2016年冒用「暴風影音」等簽名簽發木馬,到現現在冒充國外知名企業數字簽名,並利用簽名、圖標等雙重假裝隱蔽做亂,亟需廣大用戶提升安全意識。
目前,360安全衛士已對此類木馬進行攔截查殺。同時,針對此類數字簽名冒用威脅,360安全大腦給出以下安全建議:
1、及時前往weishi.360.cn,下載安裝360安全衛士,強力攔截查殺各種病毒木馬;
2、軟件擁有數字簽名並不表明絕對安全,提升安全意識,建議從360軟件管家等正規渠道下載軟件;
3、對於殺毒軟件報毒的程序,不要輕易添加信任或退出殺軟運行。