关注网络安全
和行业未来

国内恶意软件使用数字证书作案引关注

今年三月至今,卡巴斯基实验室一直在追踪一系列由某未知木马引发的病毒感染。这些木马通过一个由深圳联软科技认证的网络过滤驱动被注入到LSASS.exe文件中。卡巴斯基分析认为,这场来势汹汹的木马侵袭极有可能出自著名中国黑客团体Lucky Mouse。

私钥安全有多重要?被破解的数字证书会带来怎样的影响?下文将为你一一解析。

整个操作的关键是网络过滤驱动程序NDISProxy。 驱动程序本身似乎源自公开的C源代码,包括Blackbone存储库和GitHub上提供的http解析器。 然后,该驱动程序使用VeriSign向中国公司联软发布的数字证书(有时称为代码签名证书)进行签名,讽刺的是,这家公司还卖信息安全软件。

目前还不清楚黑客如何弄到数字证书,但很明显他们破解了私钥。代码签名背后的想法是通过应用数字签名,客户端可以告诉谁创建了软件。 如果合法公司的私钥被泄露,攻击者可以使用它来签署恶意软件,然后恶意软件会被信任,因为它似乎来自合法公司。

着对于联软来说是一个大问题,因为虽然受损的数字证书在7月份到期,但它也用于签署许多合法产品。

Subject ShenZhen LeagSoft Technology Co.,Ltd.
Serial number 78 62 07 2d dc 75 9e 5f 6a 61 4b e9 b9 3b d5 21
Issuer VeriSign Class 3 Code Signing 2010 CA
Valid to 2018-07-19

这个丑闻使用户对签名文件产生反感,联软可能需要努力通过公关赢回用户的信任。

签过名的驱动程序干了啥?

在没有过于细化的情况下,驱动程序会将一个木马注入LSASS.exe,这是一个名为Local Security Authority SubSystem Service的Microsoft操作系统中的一个进程。 LSASS.exe处理系统的用户权限,提取访问令牌以及处理用户登录和密码。

基本上,这个驱动程序做了两件事:在被注入系统中解密远程访问木马(RAT),然后设置命令服务器和RAT之间的通信线路。恶意软件还可以使用LSASS.exe中包含的网络登录和用户信息进行传播,当然,仅限于局域网内的所有系统。NDISProxy使用EarthwormSOCKS隧道器将它们连接到Command服务器。

使用此工具,攻击者可以进行横向移动并创建SOCKS隧道。 木马本身充当启用HTTPS的服务器,因此命令服务器可以通过SOCKS隧道与没有外部IP地址的系统进行通信。

如何确认自家电脑有没有被感染?

卡巴斯基提供了以下哈希值,IP地址和文件名,以便您可以确保您没有被感染。

木马全家桶安装器

9dc209f66da77858e362e624d0be86b3

dacedff98035f80711c61bc47e83b61d

驱动程序

8e6d87eadb27b74852bd5a19062e52ed

d21de00f981bb6b5094f9c3dfa0be533

a2eb59414823ae00d53ca05272168006

493167e85e45363d09495d0841c30648

ad07b44578fa47e7de0df42a8b7f8d2d

EarthwormSOCKS隧道和Scanline网络扫描仪

83c5ff660f2900677e537f9500579965

3a97d9b6f17754dcd38ca7fc89caab04

域名和IP

103.75.190[.]28

213.109.87[.]58

文件名

Global\Door-ndisproxy-mn

Global\Door-ndisproxy-help

Global\Door-ndisproxy-notify

服务

ndisproxy-mn

ndisproxy-help

ndisproxy-notify

注册密钥和值

HKLM\SOFTWARE\Classes\32ndisproxy-mn

HKLM\SOFTWARE\Classes\64ndisproxy-mn

HKCR\ndisproxy-mn\filterpd-ndisproxy-mn

HKLM\SOFTWARE\Classes\32ndisproxy-help

HKLM\SOFTWARE\Classes\64ndisproxy-help

HKCR\ndisproxy-mn\filterpd-ndisproxy-help

HKLM\SOFTWARE\Classes\32ndisproxy-notify

HKLM\SOFTWARE\Classes\64ndisproxy-notify

HKCR\ndisproxy-mn\filterpd-ndisproxy-notify

 

稿源: The ssl store

评论 抢沙发