每逢節(jié)假日，各種木馬病毒都習(xí)慣性蹭熱點刷存在感。在臨近國慶假期之際，360核心安全監(jiān)測到木馬病毒的傳播又活躍起來了，有款遠(yuǎn)控木馬試圖借用 “網(wǎng)易”官方簽名躲避查殺大肆傳播。

歷史回顧
近些年來關(guān)于數(shù)字簽名的攻擊層出不窮，首先簡單回顧一下近兩年內(nèi)發(fā)生過的一些簽名攻擊事件，主要分為簽名盜用類、簽名冒用類、簽名仿冒類和簽名過期類。

簽名盜用類是指惡意程序使用的數(shù)字簽名為某公司官方使用過的相同數(shù)字簽名，其數(shù)字證書的指紋也相同。本次新發(fā)現(xiàn)的遠(yuǎn)控木馬就屬于盜用簽名類。此外我們也曾經(jīng)發(fā)現(xiàn)過“北京財聯(lián)融訊信息技術(shù)有限公司”、“科云（上海）信息技術(shù)有限公司”和“上海海鼎信息工程股份有限公司”等公司的數(shù)字簽名被用于簽發(fā)惡意程序。

簽名冒用類是指惡意程序使用的數(shù)字簽名與某公司的數(shù)字簽名串相同，但并非使用該公司的官方證書簽發(fā)，而是另外從其他簽發(fā)機構(gòu)申請到相同簽名主體的證書。此類攻擊360核心安全持續(xù)追蹤并進(jìn)行披露，獨家發(fā)現(xiàn)了包括“方正”、“京東”、“IBM”等多家知名公司的數(shù)字簽名被冒用，具體可參見附錄的參考鏈接。 

簽名仿冒類是指惡意程序使用的數(shù)字簽名為某公司數(shù)字簽名的仿冒品，并非該公司官方的簽名串，而是仿冒該公司數(shù)字簽名串去申請了具有混淆特征的簽名串。在今年4月份，360核心安全就發(fā)現(xiàn)了一起針對網(wǎng)易公司的簽名仿冒攻擊，仿冒的簽名用于簽發(fā)大量惡意樣本，經(jīng)過與網(wǎng)易官方溝通后已聯(lián)系相關(guān)部門對該證書進(jìn)行了吊銷處理。

簽名過期類是指惡意程序使用的數(shù)字簽名為某公司官方使用過的相同數(shù)字簽名，但其是在它使用的數(shù)字證書過期后進(jìn)行簽署的，所以正常系統(tǒng)將顯示該簽名過期，而如果修改系統(tǒng)的時間使其滿足有效期則簽名可顯示正常。此類攻擊相關(guān)可詳見附錄參考報告——過期簽名“紅顏”木馬分析。

樣本分析
本次捕獲的樣本，除了數(shù)字簽名是真真切切的“網(wǎng)易”公司官方簽名外，程序的外貌特征上面也做了一些掩飾，比如程序圖標(biāo)故意做成了IE瀏覽器的圖標(biāo)，文件版本信息偽裝成了XShell軟件的程序版本，此外文件名還取為“xitongjihuo”（系統(tǒng)激活）。

樣本運行后，先解密遠(yuǎn)控模塊，然后對其進(jìn)行內(nèi)存加載執(zhí)行。解密的過程其實是比較簡單的異或解密，解密key為0x0C，但是解密代碼做了簡單的反調(diào)試處理，采用主動拋異常的方式來分割解密流程。

容易發(fā)現(xiàn)解密出來的遠(yuǎn)控模塊特意將程序頭標(biāo)志“MZ”抹成“00”，將其從內(nèi)存轉(zhuǎn)儲成文件并修復(fù)格式之后發(fā)現(xiàn)是一個偽裝成“音速啟動”的dll模塊，實則是個遠(yuǎn)控服務(wù)模塊。

解密出該模塊后，簡單檢查一下“PE”頭標(biāo)志后就進(jìn)行內(nèi)存加載執(zhí)行，最終就調(diào)用Newserver.dll的入口點函數(shù)。

而Newserver.dll模塊首次運行時會將xitongjihuo.exe注冊成自啟動類型的服務(wù)程序，并添加一個命令行參數(shù)“Win7”來啟動木馬上線流程，上線地址為“srv.war3secure.club:2018”。

連接上遠(yuǎn)程控制服務(wù)器后，該模塊搜集系統(tǒng)版本、計算機名稱、內(nèi)存和磁盤等用戶信息，將其壓縮并添加頭部標(biāo)識數(shù)據(jù)后回傳服務(wù)器進(jìn)行上線，且在收到回包后每隔一小段時間往服務(wù)器發(fā)送一個字節(jié)的心跳數(shù)據(jù)來保持上線狀態(tài)。