为了顺应当前形势和更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 资讯 安全报 查看内容

国内恶意软件使用数字证书作案引关注

2018-9-14 02:18| 投稿: xiaotiger |来自: 互联网

摘要: 今年三月至今,卡巴斯基实验室一直在追踪一系列由某未知木马引发的病毒感染。这些木马通过一个由深圳联软科技认证的网络过滤驱动被注入到LSASS.exe文件中。卡巴斯基分析认为,这场来势汹汹的木马侵袭极有可能出自著 ...

今年三月至今,卡巴斯基实验室一直在追踪一系列由某未知木马引发的病毒感染。这些木马通过一个由深圳联软科技认证的网络过滤驱动被注入到LSASS.exe文件中。卡巴斯基分析认为,这场来势汹汹的木马侵袭极有可能出自著名中国黑客团体Lucky Mouse。

私钥安全有多重要?被破解的数字证书会带来怎样的影响?下文将为你一一解析。

整个操作的关键是网络过滤驱动程序NDISProxy。 驱动程序本身似乎源自公开的C源代码,包括Blackbone存储库和GitHub上提供的http解析器。 然后,该驱动程序使用VeriSign向中国公司联软发布的数字证书(有时称为代码签名证书)进行签名,讽刺的是,这家公司还卖信息安全软件。

目前还不清楚黑客如何弄到数字证书,但很明显他们破解了私钥。代码签名背后的想法是通过应用数字签名,客户端可以告诉谁创建了软件。 如果合法公司的私钥被泄露,攻击者可以使用它来签署恶意软件,然后恶意软件会被信任,因为它似乎来自合法公司。

这对于联软来说是一个大问题,因为虽然受损的数字证书在7月份到期,但它也用于签署许多合法产品。

这个丑闻使用户对签名文件产生反感,联软可能需要努力通过公关赢回用户的信任。


签过名的驱动程序干了啥?

在没有过于细化的情况下,驱动程序会将一个木马注入LSASS.exe,这是一个名为Local Security Authority SubSystem Service的Microsoft操作系统中的一个进程。 LSASS.exe处理系统的用户权限,提取访问令牌以及处理用户登录和密码。

基本上,这个驱动程序做了两件事:在被注入系统中解密远程访问木马(RAT),然后设置命令服务器和RAT之间的通信线路。恶意软件还可以使用LSASS.exe中包含的网络登录和用户信息进行传播,当然,仅限于局域网内的所有系统。NDISProxy使用EarthwormSOCKS隧道器将它们连接到Command服务器。

使用此工具,攻击者可以进行横向移动并创建SOCKS隧道。 木马本身充当启用HTTPS的服务器,因此命令服务器可以通过SOCKS隧道与没有外部IP地址的系统进行通信。

如何确认自家电脑有没有被感染?

卡巴斯基提供了以下哈希值,IP地址和文件名,以便您可以确保您没有被感染。

木马全家桶安装器

9dc209f66da77858e362e624d0be86b3

dacedff98035f80711c61bc47e83b61d

驱动程序

8e6d87eadb27b74852bd5a19062e52ed

d21de00f981bb6b5094f9c3dfa0be533

a2eb59414823ae00d53ca05272168006

493167e85e45363d09495d0841c30648

ad07b44578fa47e7de0df42a8b7f8d2d

EarthwormSOCKS隧道和Scanline网络扫描仪

83c5ff660f2900677e537f9500579965

3a97d9b6f17754dcd38ca7fc89caab04

域名和IP

103.75.190[.]28

213.109.87[.]58

文件名

Global\Door-ndisproxy-mn

Global\Door-ndisproxy-help

Global\Door-ndisproxy-notify

服务

ndisproxy-mn

ndisproxy-help

ndisproxy-notify

注册密钥和值

HKLM\SOFTWARE\Classes\32ndisproxy-mn

HKLM\SOFTWARE\Classes\64ndisproxy-mn

HKCR\ndisproxy-mn\filterpd-ndisproxy-mn

HKLM\SOFTWARE\Classes\32ndisproxy-help

HKLM\SOFTWARE\Classes\64ndisproxy-help

HKCR\ndisproxy-mn\filterpd-ndisproxy-help

HKLM\SOFTWARE\Classes\32ndisproxy-notify

HKLM\SOFTWARE\Classes\64ndisproxy-notify

HKCR\ndisproxy-mn\filterpd-ndisproxy-notify

稿源: The ssl store

【来自SSL中国】


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6600513721611584013/

免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部