冒用数字签名的对抗：亟需加强的签名审核

前言

很多时候，杀毒软件都会对一个可执行程序的数字签名进行验证，而每个数字签名都配对着该可执行程序的Hash值，以防其它程序盗用这个软件的独有的数字签名，如下图所示：

早期的杀毒软件主要是通过软件的特征码进行来识别病毒和恶意软件，但是这个技术有个缺陷，就是软件的特征码是可以更改的。随后，杀毒软件又有了云查杀和行为查杀等功能。虽然杀毒软件的保护能力增强了，但是又出现了一个新的问题，就是误报。比如常见的，通过易语言编译的程序很容易遭到杀毒软件的查杀。还有一些软件的行为，也会被杀毒软件自动判定为病毒文件。所以大部分杀毒软件又增加了一道门槛，数字签名验校。如果一个程序有了知名公司官方的数字签名，那么该程序一般是不会被杀毒软件查杀的。

早在今年7月份，360白名单分析组捕获并查杀了一批具有知名公司签名的木马，并于8月中旬在国内首发分析报告 (被攻陷的数字签名：木马作者冒用知名网络公司签名)。在被360曝光之后，此类木马并没有销声匿迹，而是在默默地为中秋佳节的爆发做准备，木马作者冒用了新的证书，而且新的变种木马会伪装成图片以及私服等方式进行传播。360在第一时间对其进行了拦截和查杀，以下就是此类木马的演化过程：

一、 伪装成图片的木马

我们在之前的文章中介绍过此类冒用签名的木马，但最新捕获的木马更换了签名证书，同时更换了传播方式。

木马作者首先利用聊天工具给不同的人发送文件，由于文件具有知名公司签名，并且使用了诱惑性的文件名及图标，用户很容易在毫不知情的情况下点击木马而中招。

二、 伪装成私服

木马会冒用知名公司签名，并且伪装成流行私服的功能模块进行传播，此类木马因隐蔽性极高，将会给用户带来巨大损失。

伪装私服的传播来源：

木马冒用知名公司签名：

[page]

三、 木马冒用的知名厂商签名

以目前的情况来看，签名审核并没有得到加强，木马作者依旧可以通过某些途径获取知名公司签名。在签发木马的已知证书中少部分证书已被吊销，但大部分的签名依然有效。

四、 新签发木马的行为

在我们捕获到的这些新签发木马中，典型的执行流程如下：

木马采用大量混淆代码阻碍安全人员的分析，动态解密出dll，然后以PE LOADER的形式在内存中执行。

分配内存写PE信息到新内存：

解密后的DLL文件

接着调用该内存的DllMain函数,初始网络连接。

然后再调用导出函数UpdateService执行后续恶意行为。

在DLL中判断自身文件名是否包含taskhost.exe。

如果不是则复制木马到C:\Program Files\Common Files\8762eb81\taskhost.exe目录下。

接着调用CreateProcess创建taskhost.exe进程,执行后续的恶意行为。

[page]

taskhost.exe检测是否处于沙箱环境，,如果是则退出。

接着提升权限为后续恶意行为作准备

创建计划任务实现程序自启：

通过QQ朋友网接口来获取QQ个人相关信息,并通过其实现恶意行为开关

portraitCallBack({"847***126":["http://qlogo3.store.qq.com/qzone/847***126/847***126/100",100,-1,0,0,0,"色即是空",0]})

创建傀儡进程执行恶意代码：

成功运行后,创建线程接收远控指令.

五、 360在国内率先查杀

对于杀毒软件厂商：

1.不要信赖不合格的数字签名机构

2.对有数字签名的软件依旧做常规检测，并且留意和持续检测敏感程序

对于数字签名机构：

加强对于数字签名的审核流程

六、 结语

虽然木马作者在费劲心思的冒用新的知名公司签名，并且对木马不断升级，同时借助节假日来临之际试图大量传播，360在第一时间进行了拦截和查杀，并且持续监控和追踪。

同时360提醒广大用户不要轻易下载和打开未知来源的文件，保持警惕以免造成不必要的损失。同时也希望各大证书颁发机构加强签名证书的管理及审核力度，避免给木马作者带来可乘之机。