网络安全公司ESET的研究人员在近日发现了一个新的恶意软件分发活动,滥用了从D-Link和一家台湾科技公司窃取来的数字证书。
研究人员表示,ESET的检测系统将多个文件标记为可疑时,他们发现了这场恶意活动。有趣的是,被标记的文件使用了有效的D-Link公司代码签名证书进行数字签名。而完全相同的证书被用于签署非恶意的D-Link软件。因此,证书很有可能是遭到了窃取。
在确认这些文件具有恶意性质之后,ESET公司通知了D-Link,该公司对此事展开了自己的调查。这也导致了被盗的数字证书在2018年7月3日被D-Link撤销。
图1.用于签署恶意软件的D-Link公司代码签名证书
用于什么恶意软件?
研究人员表示,他们的分析共发现了两个不同的恶意软件家族滥用了被盗证书——Plead恶意软件,一个远程控制后门,以及一个相关的密码窃取程序组件。最近,日本计算机应急响应小组(JPCERT)发布了针对Plead后门的透彻分析。而根据趋势科技的说法,它由网络间谍组织BlackTech所使用。
图2.用于签署恶意软件的Changing Information Technology Inc.
除了使用D-Link证书签署的Plead样本外,ESET研究人员还确认了使用属于一家名为“Changing Information Technology Inc.”的台湾信息技术公司的证书签署的Plead样本。
尽管Changing Information Technology Inc.证书已于2017年7月4日被撤销,但BlackTech组织仍在使用它来签署他们的恶意工具。
在攻击中,能够破坏几家台湾科技公司并滥用其代码签名证书的能力表明,该组织的技术十分高超,并专注于该地区。
已签名的Plead恶意软件样本使用了垃圾代码来进行高度混淆,但恶意软件的目的在所有样本中都类似:它从远程服务器下载或从本地磁盘打开一个小型的且经加密的二进制blob。这个二进制blob包含经加密的shellcode,它会下载最终的Plead后门模块。
图3. 经混淆的Plead恶意软件代码
密码窃取程序工具用于从以下应用程序收集保存的密码:
Google Chrome
Microsoft Internet Explorer
Microsoft Outlook
Mozilla Firefox
为何要窃取数字证书?
滥用数字证书是网络犯罪分子试图掩盖其恶意意图的众多手段之一,因为使用被盗证书会使恶意软件看起来像是合法应用程序,恶意软件将更有可能偷偷地通过安全措施而不会引起怀疑。
在此类恶意软件中,最臭名昭著的可能就是在2010年被发现的Stuxnet蠕虫病毒了,它在当时使用了从另外两家台湾知名科技公司RealTek和JMicron窃取来的证书。
然而,这种策略显然并不会仅仅局限于类似Stuxnet这样高调的攻击活动,最近的这一发现就很好地证明了这一点。
