每逢節假日，各種木馬病毒都習慣性蹭熱點刷存在感。在臨近國慶假期之際，360核心安全監測到木馬病毒的傳播又活躍起來了，有款遠控木馬試圖借用 “網易”官方簽名躲避查殺大肆傳播。

歷史回顧
近些年來關于數字簽名的攻擊層出不窮，首先簡單回顧一下近兩年內發生過的一些簽名攻擊事件，主要分為簽名盜用類、簽名冒用類、簽名仿冒類和簽名過期類。

簽名盜用類是指惡意程序使用的數字簽名為某公司官方使用過的相同數字簽名，其數字證書的指紋也相同。本次新發現的遠控木馬就屬于盜用簽名類。此外我們也曾經發現過“北京財聯融訊信息技術有限公司”、“科云（上海）信息技術有限公司”和“上海海鼎信息工程股份有限公司”等公司的數字簽名被用于簽發惡意程序。

簽名冒用類是指惡意程序使用的數字簽名與某公司的數字簽名串相同，但并非使用該公司的官方證書簽發，而是另外從其他簽發機構申請到相同簽名主體的證書。此類攻擊360核心安全持續追蹤并進行披露，獨家發現了包括“方正”、“京東”、“IBM”等多家知名公司的數字簽名被冒用，具體可參見附錄的參考鏈接。 

簽名仿冒類是指惡意程序使用的數字簽名為某公司數字簽名的仿冒品，并非該公司官方的簽名串，而是仿冒該公司數字簽名串去申請了具有混淆特征的簽名串。在今年4月份，360核心安全就發現了一起針對網易公司的簽名仿冒攻擊，仿冒的簽名用于簽發大量惡意樣本，經過與網易官方溝通后已聯系相關部門對該證書進行了吊銷處理。

簽名過期類是指惡意程序使用的數字簽名為某公司官方使用過的相同數字簽名，但其是在它使用的數字證書過期后進行簽署的，所以正常系統將顯示該簽名過期，而如果修改系統的時間使其滿足有效期則簽名可顯示正常。此類攻擊相關可詳見附錄參考報告——過期簽名“紅顏”木馬分析。

樣本分析
本次捕獲的樣本，除了數字簽名是真真切切的“網易”公司官方簽名外，程序的外貌特征上面也做了一些掩飾，比如程序圖標故意做成了IE瀏覽器的圖標，文件版本信息偽裝成了XShell軟件的程序版本，此外文件名還取為“xitongjihuo”（系統激活）。

樣本運行后，先解密遠控模塊，然后對其進行內存加載執行。解密的過程其實是比較簡單的異或解密，解密key為0x0C，但是解密代碼做了簡單的反調試處理，采用主動拋異常的方式來分割解密流程。

容易發現解密出來的遠控模塊特意將程序頭標志“MZ”抹成“00”，將其從內存轉儲成文件并修復格式之后發現是一個偽裝成“音速啟動”的dll模塊，實則是個遠控服務模塊。

解密出該模塊后，簡單檢查一下“PE”頭標志后就進行內存加載執行，最終就調用Newserver.dll的入口點函數。

而Newserver.dll模塊首次運行時會將xitongjihuo.exe注冊成自啟動類型的服務程序，并添加一個命令行參數“Win7”來啟動木馬上線流程，上線地址為“srv.war3secure.club:2018”。

連接上遠程控制服務器后，該模塊搜集系統版本、計算機名稱、內存和磁盤等用戶信息，將其壓縮并添加頭部標識數據后回傳服務器進行上線，且在收到回包后每隔一小段時間往服務器發送一個字節的心跳數據來保持上線狀態。