被攻陷的数字签名:木马冒用知名公司“身份证”作案

[摘要]  程序的数字签名相当于人类的身份证,一旦有知名企业的数字签名被木马利用,它就会披上合法的外衣,具有极强的隐蔽性,赫赫有名的震网病

  程序的数字签名相当于人类的身份证,一旦有知名企业的数字签名被木马利用,它就会披上合法的外衣,具有极强的隐蔽性,赫赫有名的震网病毒(Stuxnet)就是盗用了著名IT企业的数字签名进行伪装。在国内,近期360安全卫士也捕获到一批具有知名网络公司数字签名的木马,为了阻止此类木马进一步泛滥,同时也为了提醒其他安全厂商,360安全卫士的白名单分析组对本次事件进行了深入调查。

  一、 带知名公司签名的木马

  以下是360安全卫士最新捕获的某知名网络公司数字签名的木马:

  

  我们对木马线索进行了持续的关注与追踪,其大概的更新时间线如下:

  

  二、 伪造签名木马主要证书

  以下是目前为止捕获到的伪造知名公司签发木马的证书:

  

  三、 木马行为

  带有知名公司签名的木马,不但利用了正规的数字签名,还进行了白文件利用,手段非常老练和成熟:

  

  安装包在d:\windows目录下释放两个文件

  

  Auncher.exe是TX白签名文件

  OutSupport.dll是暴风黑签名文件

  通过TX文件的白利用,Auncher.exe调用OutSupport.dll中的导出函数G_SAEF

  

  创建傀儡进程

  

  注入代码到notepad.exe中

  

  设置傀儡进程EIP

   

  最后在内存中执行木马程序。

  以下就是整个流程:

  四、 防护措施

  对于此类最新的利用审核机构审核不严格,伪造正规公司资料骗取合法签名并且签发的木马,360杀毒和安全卫士第一时间进行了查杀。用户只要开启360安全产品就可以防范此类木马。

  

 



免责声明:

本站系本网编辑转载,会尽可能注明出处,但不排除无法注明来源的情况,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本网联系, 来信: liujun@soft6.com 我们将在收到邮件后第一时间删除内容!

[声明]本站文章版权归原作者所有,内容为作者个人观点,不代表本网站的观点和对其真实性负责,本站拥有对此声明的最终解释权。