本文講的是<b>數字簽名攻擊報告:正在摧毀軟體身份“信用體系”的安全危機</b>,近期,360公司核心安全事業部發現全球範圍内的利用軟體數字簽名的惡意攻擊呈活躍趨勢,黑客的攻擊目标涉及軟體開發商、個人使用者和重要的政府、企事業機關;攻擊形式多樣,包括盜用、冒用軟體開發商的合法數字簽名和流行軟體投毒的大規模定向攻擊等。在這些攻擊中,黑客的首要攻擊目标是軟體開發商,圍繞軟體的數字簽名進行各種形式的攻擊,如在企業釋出的合法數字簽名軟體安裝包中植入惡意代碼,使用者從正規管道下載下傳官方正規軟體主動中招;盜用和冒用企業數字簽名批量制作“合法”的木馬病毒,逃避防毒軟體的清除等。利用軟體數字簽名的惡意攻擊日趨嚴峻,這類攻擊比正常的木馬病毒更具威脅,廣大使用者極難分辨,也容易被檢測機制不嚴格的安全軟體放行,嚴重危害網絡安全。
軟體簽名安全簡介
“數字簽名”是指可以添加到檔案的電子安全标記。使用它可以驗證檔案的釋出者以及幫助驗證檔案自被數字簽名後是否發生更改。如果檔案沒有有效的數字簽名,則無法確定該檔案确實來自它所聲稱的源,或者無法確定它在釋出後未被篡改。比如windows系統中内置的UAC(User Account Control使用者賬戶控制)功能,就會在要求使用者在執行可能會影響計算機運作的操作或執行更改影響其他使用者的設定的操作之前,需要使用者提供權限進行互動确認,在打開檔案時的安全提示中顯示程式的釋出者供使用者參考。
如沒有軟體數字簽名的程式,UAC會顯示釋出者未知,互動提示框是黃色,提示使用者該程式無法驗證釋出者,運作下去是有安全風險的。
圖1
而包含正常數字簽名的互動提示框是藍色的,會标注已驗證的的釋出者,提示使用者如果信任釋出者可以放心運作下去。
圖 2
一個正規的已經打上數字簽名的程式,可以在程式檔案的屬性中檢視到,便于使用者識别确認。
圖3
流行數字簽名攻擊形式分析
由于數字簽名安全的校驗檔案的身份和完整性,是以數字簽名天生成為了各種正規軟體的“身份證”,基于正規廠商和使用者之間的信任關系,以及廠商和廠商間的信任關系,大部分安全廠商對有數字簽名和正規身份的程式預設是信任的。而黑客則針對這一信任關系進行攻擊,他們會攻擊合法軟體的釋出流程,利用各種疏忽或漏洞在合法的簽名軟體包中植入惡意代碼 ,甚至直接盜取和冒用合法軟體開發商的數字簽名,進而繞過安全産品的檢查進行非法攻擊,攻擊破壞了廠商和使用者之間的信任關系,也損壞了軟體開發商的信譽,同時也對安全軟體的清除帶來了一定的阻礙。目前這類攻擊開始越演愈烈,主要分為以下三個形式。
軟體供應鍊攻擊形式
這類攻擊的主要形式是在廠商的正規簽名軟體包中植入惡意代碼,比如近日的NetSarang系列軟體關鍵網絡通信元件nssock2.dll被植入了惡意代碼,廠商在釋出軟體時并未發現惡意代碼,并給被感染元件打上了合法的數字簽名随新版軟體包一起釋出,由于該軟體被程式員和網絡運維管理人員廣泛使用,由此引發了該軟體使用者“主動”中招的大規模定向攻擊事件。
被植入惡意代碼的nssock2.dll檔案,擁有2017年7月13日的NetSarang公司數字簽名,如圖:
圖5
盜用簽名攻擊形式
黑客會盜用廠商數字簽名直接簽發木馬病毒,或者利用已簽名程式的安全漏洞發起攻擊。如近期出現的惡性病毒"Kuzzle",該病毒采用多種技術手段躲避安全軟體的清除,直接盜用了某公司的數字簽名用于簽發病毒,同時還利用了某安全廠商的已簽發數字簽名驅動加載執行代碼,該病毒會感染使用者計算機的主引導記錄(MBR)和卷引導記錄(VBR),劫持浏覽器首頁牟利,同時接受病毒作者的遠端指令進行其他破壞活動。
被惡意利用的正規簽名驅動如圖:
圖6
圖7
冒用簽名攻擊形式
黑客冒用知名公司的身份資料,在境外申請知名公司的數字簽名簽發惡意程式,這種攻擊方式讓軟體廠商無辜躺槍。近期360集團核心安全白名單分析團隊發現黑客通過僞造知名公司的資料,在境外證書頒發機構申請相應公司數字證書,用于大量簽發惡意私服和木馬程式,多家知名公司躺槍。被冒用簽名所簽發的惡意程式如圖:
圖8
數字簽名攻擊影響面分析
黑客針對軟體數字簽名進行攻擊,不僅成功對使用者發動了攻擊,還對廠商的信譽造成了損害。基于對軟體廠商的信任,使用者主動下載下傳更新軟體中招,攻擊得到廣泛傳播;同時簽發的有“身份證”的木馬病毒,因為信任關系短時間内不易被安全軟體清除。
以下為抽樣統計Xshell後門的使用者活躍量,實際資料預計會比抽樣資料擴大5倍,每天Xshell後門的主動使用受害者數以萬計。
圖9
同期,還有一些正規公司的簽名被冒用來簽發其他惡意程式,時間軸從今年初跨越至今,一些公司信譽嚴重受損。
圖10
根據360大資料監測統計,今年新增冒用樣本數量約400個,感染量約35萬。下圖所示是2017年8月份之前的受害者地域分布圖,其中沿海一帶以浙江、遼甯和廣東傳播最多,内陸則以四川和湖南居多 。
圖11
數字簽名攻擊典型案例技術分析
Xshellghost技術分析
近日,NetSarang旗下的Xmanager、Xshell、Xftp和Xlpd等在全球流行使用的伺服器遠端管理軟體曝出被多家防毒軟體報毒清除的情況,經過360集團追日團隊調查分析确認,NetSarang旗下多款軟體的關鍵子產品被植入了進階後門,這是一起入侵感染供應鍊軟體的大規模攻擊事件,我們将其命名為“XshellGhost”(xshell幽靈)。該程式是一個精密的定向攻擊平台,所有的功能子產品實作均為shellcode形式,用戶端攻擊通過感染供應鍊軟體和各個shellcode子產品,實作了無自啟動項、無落地檔案和多種通信協定的遠端控制,後門潛伏于受害者電腦等待黑客在雲控制平台下發shellcode資料執行,黑客在雲端甚至可能通過上傳的使用者資訊進行選擇性的定向攻擊。
遠端控制步驟分析
XshellGhost的遠端控制主要分為5個步驟:
1. Xshell等軟體啟動加載被感染元件nssock2.dll,解密shellcode1執行。
2. Shellcode1解密Shellcode2執行如下功能:
a) 建立系統資料庫項,上報資料到每月對應的DGA域名當中;
b) 通過發往知名的域名解析器當中上傳使用者資訊給攻擊者;
c) 将接收的資料寫入到建立的系統資料庫項當中;
d) 通過擷取的key1和key2解密Shellcode 3并執行;
3. Shellcode3會建立日志檔案并寫入資訊,啟動系統程序Svchost.exe,修改其oep處的代碼,并注入shellcode形式的Root子產品執行。
4. Root子產品的初始化過程中,會加載并初始化Plugins、Config、Install、Online和DNS等功能子產品,然後調用函數Install->InstallByCfg以擷取配置資訊,監控系統資料庫并建立全局互斥體,調用Online-> InitNet;
5. 函數Online-> InitNet會根據其配置初始化網絡相關資源,向指定服務位址發送資訊,并等待雲端動态下發代碼進行下一步攻擊。
圖12
後門功能子產品分析
此次攻擊的所有子產品排程加載實作方式都是通過shellcode形式,采用了子產品化的方法進行統一管理。後門主要分為基礎管理子產品 (ROOT)、插件功能子產品(Plugins)、C&C配置子產品(Config)、代碼安裝子產品(Install)和網絡通信子產品(Online)這5個子產品。
網絡通信子產品分析
網絡通信管理子產品(Online)是本次攻擊的關鍵子產品,在本次攻擊事件當中我們已經發現了DNS子產品,其它幾個網絡子產品(TCP、HTTP、UDP、HTTPS、SSL)雖然在代碼當中有所展現,但是在shellcode當中尚未主動運作,各個網絡子產品的函數接口及其作用如下表所示:
各個網絡子產品的功能的展開和運作依賴于Online子產品提供的函數接口清單:
InitNet在讀取網絡代理配置以後每隔1秒調用功能A,如果功能A傳回20000,則函數徹底結束,功能A邏輯:
圖13
功能B邏輯,用于等待雲端下發代碼執行:
圖14
此次攻擊已知使用的通信子產品是DNS子產品,該後門基于DNS隧道技術進行通信:
該子產品發送的資料包有3種類型:
1.初始化資料包,大小為0x18
圖15
2.Data資料包,大小0x8+
圖16
3.關閉資料包, 大小0x8
圖17
其發送函數如下:
圖18
圖19
圖20
在調用DNS子產品2号函數傳回自定義對象時,其調用了GetAdaptersAddresses擷取擴充卡的DNS
圖21
最多收集0x10個DNS,随後在調用該子產品第3号函數時,其使用收集到的DNS,合并Config檔案中的4個DNS位址,循環往每一個DNS發送查詢,等到到任何一個傳回資料,或者逾時,并記錄下第一個傳回應答的DNS資料包,以後再次發送的時候,隻會給第一個傳回應答的DNS發送資料。
圖22
圖23
在發送資料包時,會将資料嵌套到DNS協定中發送,其中資料會編碼成特定的字元串,添加在要配置檔案中的CC DNS URL前,實作DNS隧道通訊。
圖24
盜用簽名攻擊和白利用攻擊的典型案例
刷機精靈官方主程式被利用,僞裝成“照片.exe”,通過QQ傳播,會加載一個僞造的ShuameManager.dll。
圖25
僞造的ShuameManager.dll盜用“北京财聯融訊資訊技術有限公司”數字簽名:
圖26
僞造的ShuameManager.dll和刷機精靈官方的ShuameManager.dll有相同的導出函數“StartShume”供主程式調用,惡意ShuameManager.dll的導出函數内部代碼是循環休眠:
圖27
真正的惡意代碼其實在ShuameManager.dll剛載入時就已經啟動,并且采用拼接字元串的方式來隐藏敏感API調用,直接建立一個工作線程:
圖28
工作線程的任務是解密一個加密的檔案“coonfig.dat”,記憶體解密出一個dll檔案,然後進行加載:
圖29
解密的算法是簡單的加法和異或運算,初始key是9:
圖30
經過循環9次解密後,coonfig.dat檔案在記憶體裡解密出一個dll,工作線程接着準備加載調用其導出函數“InitMyEntry”:
圖31
首先判斷解密出來的檔案格式是否滿足條件,符合PE格式則進行解析配置設定對應大小的記憶體進行裝載:
圖32
接着就是根據PE格式的映射原理進行解析和裝載,然後調用dll的入口點函數進行初始化:
圖33
解密後的dll裝載初始化完後,接着查找其導出函數“InitMyEntry”位址最後直接跳轉執行:
圖34
分析到這裡,可以看出ShuameManager.dll其實就是一個加密程式記憶體裝載器,采用了一系列對抗手法來規避清除,具體執行的惡意活動取決于coonfig.dat解密出來的程式。ShuameManager.dll配套的coonfig.dat,其中一個功能是調用一款第三方工具NirCmd.exe來進行添加開機啟動項,指令參數為:
圖35
而啟動的目标程式Elantech.exe隻是僞裝“觸控闆”的檔案名,實際上是一個和上述被利用的“刷機精靈”類似的程式,Elantech.exe主要有兩類,其中一類是yy遊戲官方的程式:
圖36
yy的程式被利用來加載的惡意dll是“VideoSdk.dll”,“VideoSdk.dll”和僞造的ShuameManager.dll采用相同的解密key和loader架構,并且同樣帶有盜用的“北京财聯融訊資訊技術有限公司”數字簽名,最終都是加載coonfig.dat導出的InitMyEntry函數來進行惡意活動。另一類Elantech.exe程式是一款南韓防毒軟體“安博士”的更新程式,該程式被利用來加載名為“AhnUpCtl.dll”的dll,功能和手法都和上述類似,這裡就不再贅述。
2017年簽名冒用攻擊大追蹤
冒用方式
簽名冒用的利用方式360已經分析披露過多次,這裡簡單再說明一下。下圖是官方正常數字簽名與冒用數字簽名的樣本對比,兩者都顯示數字簽名正常且簽名主體均為“上海**軟體有限公司”。左圖是該公司官方的程式簽名,而右圖則是冒用的數字簽名,其是冒用簽名的作者僞造該公司資料在國外簽發機構“Go Daddy”申請的數字證書。
圖37
目前為止,發現的冒用簽名主要都是通過“Go Daddy”和“Startfield”兩家國外簽發機構申請的,今年新增的8種冒用簽名如下所示,其中每種簽名對應若幹張數字證書,且部分證書目前已被頒發者直接吊銷:
圖38
樣本分析
下面主要分析帶冒用簽名的劫持類私服程式,由于其他惡意程式傳播受限這裡暫不分析。
(一)流程架構
360截獲的帶冒用簽名的劫持類私服程式種類較多且更新頻繁,其劫持元件也是經常變化,不過總體的功能架構相對不變。樣本的整個運作過程如下所示,部分程式子產品在玩家電腦上采用随機檔案名,圖中的備注名(如[msvcs.dll])是其對應在私服伺服器上的子產品名稱。
圖39
從前文的流程圖看,本子產品主要進行兩條劫持流程,首先進行的是流程圖的上半部分,母體是dnetsup.dll,最終通過安裝檔案過濾驅動進行劫持,緊接着進行流程圖的下半部分,母體是drvsup.dll,最終通過安裝tdi過濾驅動進行劫持。
(二)檔案過濾流程劫持DNS
首先是檔案過濾流程,過程基于dotnet(.Net)的運作環境,是以dnetsup.dll先判斷并安裝dotnet環境,然後通過注冊通用類庫的方式來得到程式運作機會。一旦注冊成功,之後每次使用者啟動浏覽器,浏覽器程序都會被“注入”該劫持子產品(donetset2/4),進而執行其中的程式代碼,通過我們的行為監控工具檢視,可以看到IE浏覽器的程序樹下多出了兩個子程序,這兩個子程序其實是注入其中的劫持子產品donetset2.dll建立的(見下文):
圖40
當該元件的工作例程開始運作時,就進行檔案過濾驅動的安裝或啟動,并下載下傳一份hosts清單儲存到dida.mid這個檔案來進行本地DNS劫持,上文看到浏覽器的程序樹即是下載下傳完劫持清單檔案後調用cmd的ipconfig指令進行DNS緩存重新整理:
圖41
下載下傳的清單格式與系統hosts檔案一緻,主要用于劫持安全軟體和競争對手的DNS請求:
圖42
本子產品安裝的驅動程式是從資源裡釋放的,dHelperKit.dll負責和檔案過濾驅動的通信操作。驅動程式出自EldoS公司的一款名為“CallbackFiler”的産品,該産品實際上是專門為開發人員提供檔案系統過濾功能的程式庫:
圖43
dHelperKit.dll負責控制驅動庫完成劫持的功能。該子產品的導出函數“kitStartCbfltfs”通過“CallbackFiler”提供的API來操作檔案過濾驅動cbfltfs3.sys,借助其對檔案系統的的過濾功能來劫持DNS。具體實作的方式是添加一個檔案名(路徑)重解析的回調函數,設定請求的目标檔案名(路徑)為本地hosts檔案的路徑,在系統程序通路到該檔案路徑時重定向到一個新的控制路徑(dida.mid檔案的路徑):
圖44
待重新下載下傳dida.mid清單檔案後調用指令重新整理DNS緩存,此時負責網絡服務的程序svchost會将新的hosts清單刷入本地DNS緩存,安全軟體或競争私服等程式在聯網時預設先查詢DNS緩存,發現緩存清單裡存在相關記錄項就會導緻該域名解析被重定向,進而實作屏蔽或劫持網絡的作用。此時檢查系統的hosts檔案将看不到任何異常,然而通過ping指令便能驗證出DNS已被劫持:
圖45
由于目标域名劫持後重定向到一個本機回環位址(127.0.0.1),是以屏蔽了對劫持域名(ip***360safe.com)的網絡請求,此目的為幹擾安全軟體的正常聯網。當然要進行劫持的域名都是由雲端配置設定控制的,劫持清單可以随時更換,例如下面是一組被劫持的知名遊戲網站,均被劫持到某一固定的ip位址(139.***.246.167):
圖46
(三)TDI過濾流程劫持網絡流量
接下來分析tdi過濾流程,最終實作通過驅動劫持使用者的網絡流量。母體drvsup.dll通過IsWow64Process判斷系統環境,選擇下載下傳x64或者x86版本的tdi驅動到本地儲存為mstd32.sys:
圖47
下載下傳後按照正常啟動服務的方式直接啟動該驅動程式:
圖48
一旦驅動加載起來,後面的流程全靠該驅動獨立完成,無需與應用層程式進行其他互動。驅動每次啟動時重新下載下傳一份劫持清單tdipaddr.dll到記憶體,并将其解析到連結清單中友善後面進行劫持過濾:
圖49
下載下傳的清單經常發生變化,并且同時存在多種不同的傳播版本,對不同類型的知名網址進行劫持,如下是截獲的其中一個版本,其中包含大量知名的遊戲公司官網,均被劫持到某搜尋引擎的一個伺服器ip(14.***38):
圖50
後面過濾IO請求時,将以該清單去比對目前網絡通路的host:
圖51
滿足過濾規則的所有網絡IO請求會被标記,待相應的請求響應後對接收到的資料進行修改,添加301重定向響應頭或者嵌入html架構來實作劫持,最後将修改後的内容傳回給請求聯網的應用層程式(如浏覽器)處理:
圖 52
例如我們通過浏覽器正常通路盛大遊戲官網時如下:
圖53
而驅動劫持後通路盛大遊戲官網則會發生跳轉,将其劫持到某搜尋引擎(或其他位址,根據雲端清單來控制),阻礙使用者正常通路遊戲網站。從360浏覽器的抓包工具可以看出劫持方式是嵌入一個指向搜尋引擎位址的html架構:
圖 54
對劫持過程進行雙機調試,也能觀察到通路盛大遊戲官網時驅動程式劫持的過濾過程:
圖55
最後發現驅動程式還注冊了一個關機回調,在系統關機時改變驅動檔案名,重寫驅動檔案來增加自身的隐蔽性。驅動的路徑如下圖所示,可以看到檔案名為8位随機字母:
圖56
重寫驅動檔案後将新的驅動路徑注冊成一個開機自啟動的服務,以保證在使用者電腦上的劫持活動得以延續。
圖57
總結和安全建議
2017年初始至今,黑客從盜用正規公司的數字簽名制造有“身份證”的木馬病毒,以及有組織有預謀地入侵廠商污染軟體釋出流程,最後甚至使用社會工程學僞裝廠商身份冒用數字簽名,針對軟體數字簽名的攻擊,無所不用其極,擁有良好信譽的軟體廠商和衆多軟體使用者已經成為黑客的主要攻擊目标。
軟體開發商的數字簽名屬于軟體自身的“身份證”,軟體身份被惡意利用,會對公司的商業信譽帶來惡劣影響,同時也破壞了該廠商的在軟體安全體系的可信身份,使安全廠商和使用者都不再信任其軟體身份,軟體廠商将損失大量的使用者。
是以,軟體廠商有義務保護好自己的數字簽名,如果發現數字簽名被攻擊應及時公告使用者處置,并采取有效措施減少使用者的損失。
此外,網民也應該認識到,數字簽名隻是識别軟體身份的一種方式,軟體擁有數字簽名并不能代表絕對安全,針對有“身份”的軟體仍然需要提高警惕,使用檢測機制嚴格、可靠的安全軟體防禦惡意攻擊。
原文釋出時間為:2017年9月5日
本文來自雲栖社群合作夥伴嘶吼,了解相關資訊可以關注嘶吼網站。
<a href="http://www.4hou.com/technology/7531.html" target="_blank">原文連結</a>