美文网首页墨者资讯
网络间谍组织BlackTech利用被盗证书签名恶意软件

网络间谍组织BlackTech利用被盗证书签名恶意软件

作者: 乖巧小墨宝 | 来源:发表于2018-07-12 13:07 被阅读20次

    网络安全公司ESET的研究人员在近日发现了一个新的恶意软件分发活动,滥用了从D-Link和一家台湾科技公司窃取来的数字证书。

    研究人员表示,ESET的检测系统将多个文件标记为可疑时,他们发现了这场恶意活动。有趣的是,被标记的文件使用了有效的D-Link公司代码签名证书进行数字签名。而完全相同的证书被用于签署非恶意的D-Link软件。因此,证书很有可能是遭到了窃取。

    在确认这些文件具有恶意性质之后,ESET公司通知了D-Link,该公司对此事展开了自己的调查。这也导致了被盗的数字证书在2018年7月3日被D-Link撤销。

    图1.用于签署恶意软件的D-Link公司代码签名证书

    用于什么恶意软件?

    研究人员表示,他们的分析共发现了两个不同的恶意软件家族滥用了被盗证书——Plead恶意软件,一个远程控制后门,以及一个相关的密码窃取程序组件。最近,日本计算机应急响应小组(JPCERT)发布了针对Plead后门的透彻分析。而根据趋势科技的说法,它由网络间谍组织BlackTech所使用。

    图2.用于签署恶意软件的Changing Information Technology Inc.代码签名证书

    除了使用D-Link证书签署的Plead样本外,ESET研究人员还确认了使用属于一家名为“Changing Information Technology Inc.”的台湾信息技术公司的证书签署的Plead样本。

    尽管Changing Information Technology Inc.证书已于2017年7月4日被撤销,但BlackTech组织仍在使用它来签署他们的恶意工具。

    在攻击中,能够破坏几家台湾科技公司并滥用其代码签名证书的能力表明,该组织的技术十分高超,并专注于该地区。

    已签名的Plead恶意软件样本使用了垃圾代码来进行高度混淆,但恶意软件的目的在所有样本中都类似:它从远程服务器下载或从本地磁盘打开一个小型的且经加密的二进制blob。这个二进制blob包含经加密的shellcode,它会下载最终的Plead后门模块。

    图3. 经混淆的Plead恶意软件代码

    密码窃取程序工具用于从以下应用程序收集保存的密码:

    Google Chrome

    Microsoft Internet Explorer

    Microsoft Outlook

    Mozilla Firefox

    为何要窃取数字证书?

    滥用数字证书是网络犯罪分子试图掩盖其恶意意图的众多手段之一,因为使用被盗证书会使恶意软件看起来像是合法应用程序,恶意软件将更有可能偷偷地通过安全措施而不会引起怀疑。

    在此类恶意软件中,最臭名昭著的可能就是在2010年被发现的Stuxnet蠕虫病毒了,它在当时使用了从另外两家台湾知名科技公司RealTek和JMicron窃取来的证书。

    然而,这种策略显然并不会仅仅局限于类似Stuxnet这样高调的攻击活动,最近的这一发现就很好地证明了这一点。

    IoCs

    ESET检测名称:

    Win32/PSW.Agent.OES trojan

    Win32/Plead.L trojan

    Win32/Plead.S trojan

    Win32/Plead.T trojan

    Win32/Plead.U trojan

    Win32/Plead.V trojan

    Win32/Plead.X trojan

    Win32/Plead.Y trojan

    Win32/Plead.Z Trojan

    未签名样本(SHA-1):

    80AE7B26AC04C93AD693A2D816E8742B906CC0E3

    62A693F5E4F92CCB5A2821239EFBE5BD792A46CD

    B01D8501F1EEAF423AA1C14FCC816FAB81AC8ED8

    11A5D1A965A3E1391E840B11705FFC02759618F8

    239786038B9619F9C22401B110CF0AF433E0CEAD

    已签名样本(SHA-1):

    1DB4650A89BC7C810953160C6E41A36547E8CF0B

    CA160884AE90CFE6BEC5722FAC5B908BF77D9EEF

    9C4F8358462FAFD83DF51459DBE4CD8E5E7F2039

    13D064741B801E421E3B53BC5DABFA7031C98DD9

    C&C服务器:

    amazon.panasocin[.]com

    office.panasocin[.]com

    okinawas.ssl443[.]org

    代码签名证书序列号:

    D-Link 公司:13:03:03:e4:57:0c:27:29:09:e2:65:dd:b8:59:de:ef

    Changing Information Technology Inc:

    73:65:ed:e7:f8:fb:b1:47:67:02:d2:93:08:39:6f:51

    1e:50:cc:3d:d3:9b:4a:cc:5e:83:98:cc:d0:dd:53:ea

    相关文章

      网友评论

        本文标题:网络间谍组织BlackTech利用被盗证书签名恶意软件

        本文链接:https://www.haomeiwen.com/subject/qrolpftx.html

        延伸阅读

        深度阅读

        • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

        栏目导航

        热点阅读

        墨者资讯

        关于我们|服务条款|联系我们|网络间谍组织BlackTech利用被盗证书签名恶意软件|投稿指南|网站地图|RSS订阅|排版工具|手机版

        提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

        Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

        备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

        本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

        所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!