被攻陷的数字签名:木马作者冒用知名网络公司签名

阅读量321997

|

发布时间 : 2016-08-18 15:13:44

近期360白名单分析组捕获到一批具有知名网络公司数字签名的木马,为了阻止木马的进一步危害,同时也为了提醒其他安全厂商,白名单组对本次事件进行了回顾。

一、 带知名公司签名的木马

以下是最新捕获的某知名网络公司数字签名的木马:

http://p6.qhimg.com/t016146a02ea85d43aa.png

我们对木马相关作者进行了持续的关注与追踪,其大概的更新时间线如下:

http://p9.qhimg.com/t01e0663e00d4ba7d3a.png

二、 伪造签名木马主要证书

以下是目前为止捕获到的伪造知名公司签发木马的证书:

http://p2.qhimg.com/t01e13db0344393e2eb.png

三、 带签名的木马基本行为

带有知名公司签名的木马,不但利用了正规的数字签名,还进行了白文件利用,手段极其老练和成熟,对此白名单组进行了深入的分析:

http://p8.qhimg.com/t0170b47d6cbf458f75.png

安装包在d:windows目录下释放两个文件

http://p2.qhimg.com/t0124614ff2e6729ed4.png

Auncher.exe是TX白签名文件

OutSupport.dll是暴风黑签名文件

通过TX文件的白利用,Auncher.exe调用OutSupport.dll中的导出函数G_SAEF

http://p5.qhimg.com/t018b36951671959300.png

创建傀儡进程

http://p4.qhimg.com/t01a8fdf7f6c0ddfc60.png

注入代码到notepad.exe中

http://p6.qhimg.com/t0193877599d9c44ada.png

http://p3.qhimg.com/t016381eec32a5e8f62.png

http://p4.qhimg.com/t018d166e44ff9fe27b.png

设置傀儡进程EIP

http://p2.qhimg.com/t01fe0ea020919ac227.png

http://p4.qhimg.com/t01d9b9d98f51b52905.png

最后在内存中执行木马程序。

以下就是整个流程:

http://p9.qhimg.com/t01c98e1e5963317dc1.png

四、 杀毒的查杀

对于此类冒用正规公司合法签名的木马,360杀毒进行了第一时间的查杀。

https://p2.ssl.qhimg.com/t014935f2a2730e788c.png

本文由360安全卫士原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/84413

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
360安全卫士
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66