远控木马盗用网易官方签名

前言

每逢节假日，各种木马病毒都习惯性蹭热点刷存在感。在临近国庆假期之际，360核心安全监测到木马病毒的传播又活跃起来了，有款远控木马试图借用 “网易”官方签名躲避查杀大肆传播。

历史回顾

近些年来关于数字签名的攻击层出不穷，首先简单回顾一下近两年内发生过的一些签名攻击事件，主要分为签名盗用类、签名冒用类、签名仿冒类和签名过期类。

签名盗用类是指恶意程序使用的数字签名为某公司官方使用过的相同数字签名，其数字证书的指纹也相同。本次新发现的远控木马就属于盗用签名类。此外我们也曾经发现过“北京财联融讯信息技术有限公司”、“科云（上海）信息技术有限公司”和“上海海鼎信息工程股份有限公司”等公司的数字签名被用于签发恶意程序。

签名冒用类是指恶意程序使用的数字签名与某公司的数字签名串相同，但并非使用该公司的官方证书签发，而是另外从其他签发机构申请到相同签名主体的证书。此类攻击360核心安全持续追踪并进行披露，独家发现了包括“方正”、“京东”、“IBM”等多家知名公司的数字签名被冒用，具体可参见附录的参考链接。

签名仿冒类是指恶意程序使用的数字签名为某公司数字签名的仿冒品，并非该公司官方的签名串，而是仿冒该公司数字签名串去申请了具有混淆特征的签名串。在今年4月份，360核心安全就发现了一起针对网易公司的签名仿冒攻击，仿冒的签名用于签发大量恶意样本，经过与网易官方沟通后已联系相关部门对该证书进行了吊销处理。

签名过期类是指恶意程序使用的数字签名为某公司官方使用过的相同数字签名，但其是在它使用的数字证书过期后进行签署的，所以正常系统将显示该签名过期，而如果修改系统的时间使其满足有效期则签名可显示正常。此类攻击相关可详见附录参考报告——过期签名“红颜”木马分析。

样本分析

本次捕获的样本，除了数字签名是真真切切的“网易”公司官方签名外，程序的外貌特征上面也做了一些掩饰，比如程序图标故意做成了IE浏览器的图标，文件版本信息伪装成了XShell软件的程序版本，此外文件名还取为“xitongjihuo”（系统激活）。

样本运行后，先解密远控模块，然后对其进行内存加载执行。解密的过程其实是比较简单的异或解密，解密key为0x0C，但是解密代码做了简单的反调试处理，采用主动抛异常的方式来分割解密流程。

容易发现解密出来的远控模块特意将程序头标志“MZ”抹成“00”，将其从内存转储成文件并修复格式之后发现是一个伪装成“音速启动”的dll模块，实则是个远控服务模块。

解密出该模块后，简单检查一下“PE”头标志后就进行内存加载执行，最终就调用Newserver.dll的入口点函数。

而Newserver.dll模块首次运行时会将xitongjihuo.exe注册成自启动类型的服务程序，并添加一个命令行参数“Win7”来启动木马上线流程，上线地址为“srv.war3secure.club:2018”。

连接上远程控制服务器后，该模块搜集系统版本、计算机名称、内存和磁盘等用户信息，将其压缩并添加头部标识数据后回传服务器进行上线，且在收到回包后每隔一小段时间往服务器发送一个字节的心跳数据来保持上线状态。

一旦远程控制服务器发起控制命令，木马模块将根据命令执行对应的控制代码，如下为部分控制分发流程。

总结

在安全形势日益严峻的今天，仅针对数字签名方面的攻击方式就千变万化。层出不穷的恶意签名样本在网络中传播，严重危害终端系统安全。攻击者的攻击覆盖软件的整个生命周期，无孔不入防不胜防。当整个供应链上的安全被逐一击破，安全软件作为整个生态链上终端系统的最后屏障，具备立体防护能力显得至关重要。

附录

HASH

参考链接

1. 数字签名攻击报告：正在摧毁软件身份“信用体系”的安全危机：

https://www.anquanke.com/post/id/86729

2. 风云再起，签名冒用引发信任危机：

https://www.anquanke.com/post/id/154076

3. 过期签名“红颜”木马分析：

https://www.anquanke.com/post/id/84763