攻击者从台湾科技公司窃取证书用于Plead恶意软件活动

ang010ela Web安全 2018年7月16日发布

导语:D-Link和Changing Information Technologies公司的代码签名证书被攻击者窃取,然后用于网络监控组织的攻击活动,尤其是台湾等东亚地区。

ESET研究人员发现一款滥用窃取的数字证书的恶意软件活动。系统中的安全软件将恶意软件活动中的许多协议标记为可疑的(suspicious)。但这些被标记的文件使用的是有效的D-Link公司代码签名证书。完全同样的证书之前也被用于对非恶意顶D-Link软件进行签名;因此,证书貌似被窃取了。

在确认了文件的恶意本质后,研究人员通知了D-Link,然后D-Link自己对该事件进行了分析。2018年7月3日,D-Link撤销了被黑的数字证书。

image.png

图1. 用于对恶意软件签名的 D-Link代码签名证书

恶意软件

分析发现两个滥用被窃证书的恶意软件家族,Plead是一个远程控制的后门和相关的密码窃取组件。最近JPCERT发布了对Plead后门的深度分析,Trend Micro分析称,Plead是网络监控组织BlackTech使用的恶意软件。

image.png

图2. 用于对恶意软件签名的Changing Information Technology代码签名证书

根据用D-Link证书签名的Plead样本,ESET研究人员识别了一些用属于台湾安全公司Changing Information Technology的证书签名的样本。虽然BlackTech组织使用Changing Information Technology的证书来签名,但早在2017年7月4日,该证书就被撤销了。

黑掉许多台湾科技公司并使用代码签名证书用于未来的攻击,表明该组织攻击能力非常强,并且重点攻击区域就是台湾。

签名的Plead恶意软件样本还用一些没有用的样本进行混淆了,但是恶意软件的目的与其他样本是相似的:从远处服务器中下载,然后在本地打开一个加密的二进制大对象。该二进制大对象含有加密后的shellcode,这是从最后的Plead后门模块去下载。

image.png

图3. Plead恶意软件的混淆后的代码

密码窃取器是用来收集下面列表中应用保存的密码:

· Google Chrome

· Microsoft Internet Explorer

· Microsoft Outlook

· Mozilla Firefox

为什么要窃取数字证书?

滥用数字证书是网络犯罪分子尝试隐藏恶意目的新方法之一,因为窃取的证书会让恶意软件看起来是合法的,这样有很大概率会绕过安全软件的检测。

目前使用窃取数字证书最臭名昭著的恶意软件应该是2010年发现的Stuxnet蠕虫。Stuxnet使用的是窃取自RealTek和JMicron的数字证书,这两个公司也是台湾的著名科技公司。

本文翻译自:https://www.welivesecurity.com/2018/07/09/certificates-stolen-taiwanese-tech-companies-plead-malware-campaign/如若转载,请注明原文地址: http://www.4hou.com/web/12550.html
点赞 6
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论