DirtyMoe 代码签名证书
摘要
DirtyMoe 恶意软件使用带有已撤销证书的驱动程序,该驱动程序可以无缝加载到 Windows 内核中。因此,本文的目标之一在于分析 Windows 如何处理 Windows 驱动程序的代码签名。同样,我们也将关注用户模式应用程序的代码签名验证,因为用户账户控制 (UAC) 并不会阻止已撤销证书签名的应用程序执行。第二个目标是对签署 DirtyMoe 驱动程序的证书进行统计分析,因为这些证书也被用于签署其他恶意软件。我们重点确定了证书的来源、流行度,以及对这些证书签名的前 10 种软件进行快速分析。
与常见假设相反,Windows 允许加载带有已撤销证书的驱动程序。此外,结果表明 UAC 不会在线验证撤销,而仅通过系统本地存储进行验证,该存储由用户手动更新。DirtyMoe 证书被用于签名许多其他软件,而且事件数量仍在增长。此外,台湾和俄罗斯似乎是受此虚假签名影响最严重的地区。
总体而言,分析的证书可以被声明为恶意,并应进行监控。UAC 在其代码签名验证例程中存在重大漏洞。因此,除了通常要避免从不可信来源下载之外,Windows 用户还不应仅依靠内置保护。由于证书验证存在缺陷,对于需要提升权限的可执行文件,建议手动验证证书。
1 引言
DirtyMoe 恶意软件是一个复杂的恶意后门,旨在具有模块化、不可检测和不可追踪的特性。DirtyMoe 的主要目标是加密盗窃cryptojacking和 DDoS 攻击。基本上,它可以执行攻击者想要的一切。先前的研究发布在DirtyMoe 介绍和概述中,显示 DirtyMoe 还采用了多种自我保护和反取证机制。DirtyMoe 的一个重要保护措施是根工具包rootkit。使用根工具包的显著之处在于它提供了在内核层面隐藏恶意活动的高级技术。由于 DirtyMoe 是复杂的恶意软件,并经过长期开发,因此恶意软件作者也实现了多种根工具包机制。关于 DirtyMoe 驱动程序功能的详细信息,参见DirtyMoe 根工具包驱动程序一文。
然而,根工具包驱动程序的另一个重要方面是数字签名。根工具包通常通过 Windows 驱动程序来利用系统。微软开始要求代码签名必须使用受信的证书,并由微软信任的认证机构CA验证。尽管如此,自 64 位 Windows Vista 及更高版本以来,Windows 不允许加载未签名的驱动程序。尽管代码签名的原则是正确而安全的,Windows 却允许加载由证书发布者明示撤销的证书所使用的驱动程序。这种行为的原因有很多,无论是在性能还是向后兼容性方面。这种证书管理的薄弱环节在于,如果恶意软件作者窃取了以前由微软验证并被 CA 撤销的任何证书,那么恶意软件作者就可以将此证书用于恶意目的。这正是 DirtyMoe 的情况,它仍然使用被盗证书对其驱动程序进行签名。而且,用户无法通过用户账户控制 (UAC) 影响代码签名验证,因为驱动程序是在内核模式下加载的。
出于对撤销证书驱动程序加载的关注,本文的主要问题是分析 Windows 在内核和用户模式下如何操作代码签名的机制;以及对签署 DirtyMoe 驱动程序的证书进行详细分析。
本文首先简要概述 UAC 和 Windows 驱动程序的代码签名。还有一些关于 UAC 原理以及 Windows 如何管理证书撤销列表 (CRL) 的观察。文献的其余部分旨在详细审查有关签署 DirtyMoe 驱动程序的可用证据信息。
迄今为止,我们的研究小组已确认发现了三种不同的恶意证书。被这些证书签署的驱动程序可以在 64 位 Windows 内核中加载,而不论其是否被撤销。最后部分的首要目标是从统计角度分析可疑证书。我们研究了三个视角。第一个是被恶意证书签署的样本的地质来源。第二个方面是被捕获样本的数量,包括对每个证书的预测因子。最后一个选定的参考框架是对签署软件类型的统计概述,因为恶意软件作者使用这些证书来签署多种软件,例如破解的软件或其他已被恶意负载修改的流行用户应用程序。我们选择了签署被撤销证书的前 10 种软件并进行了快速分析。这些软件的类别帮助我们确定恶意软件作者签署的主要目标软件类型。另一个重要的研究范围是寻找有关证书可能泄露或被盗的公司的信息。
2 背景
数字签名能够提供电子文档包括软件身份、来源和状态的证据。用户可以通过认证机构验证签名的有效性。软件开发者使用数字签名对其产品进行代码签名。软件作者通过签名来保证自产品进行数字签名以来,执行文件或脚本没有被篡改或改变。软件用户在运行或安装软件之前,可以验证软件开发者的可信度。
每个已签名的代码软件均提供其发行者的信息,并指向当前证书撤销列表 (CRL) 的 URL,称为 CRL 分发点。Windows 可以遵循该 URL 并检查所用证书的有效性。如果验证失败,用户账户控制 (UAC) 会阻止未通过代码签名验证的软件执行。同样重要的是,Windows 驱动程序的代码签名采用不同的数字签名验证方法。用户模式软件的签名是可选的,而 Windows 驱动程序必须由 Windows 信任的 CA 签名。自 64 位 Windows Vista 起,驱动程序签名是强制的。
21 用户账户控制和数字签名如果用户想要运行高权限软件,Windows 10 会提示用户确认。用户账户控制 (UAC) 应该有助于防止用户无意中运行恶意软件或其他可能使 Windows 系统不稳定的更改。此外,UAC 为不同的情况使用颜色编码蓝色表示已验证的签名,黄色表示未验证,红色表示被拒绝的证书;见图 1。
图 1:验证、未验证和拒绝的软件的 UAC,要求最高权限
不幸的是,用户是安全链中最薄弱的一环,往往自愿选择忽视此类警告。Windows 本身对未知发布者和已撤销证书并没有提供 100 的保护。因此,用户的无知和疏忽为恶意软件作者提供了便利。
22 Windows 驱动程序和数字签名Windows 驱动程序的证书政策与其他用户模式软件的政策截然不同。用户模式软件不要求进行代码签名,而 Windows 驱动程序必须进行代码签名;此外,必须使用微软信任的证书颁发机构。不过,Windows 驱动程序的证书政策相当复杂,如 MSDN所示[1]。
221 驱动程序签名历史上,所有类型的 32 位驱动程序都是未签名的,例如打印机、扫描仪和其他特定硬件的驱动程序。Windows Vista 带来了新的签名政策,但由于向后兼容性的需要,微软无法停止对遗留驱动程序的支持。然而,64 位 Windows Vista 及以后的版本必须根据新政策要求数字签名的驱动程序。因此,32 位驱动程序不必签名,因为这些驱动程序无法加载到 64 位内核中。虽然证书政策不要求 32 位驱动程序进行代码签名,但进行代码签名是一种良好的实践。
微软无力为第三方供应商提供的每个驱动程序更确切地说是文件进行签名。因此,采用跨证书政策作为构建信任链的工具。该政策允许发布子证书,从而从微软根证书颁发机构建立信任链到多家微软认可的其他 CA。目前的跨证书列表记录在[2]中。实际上,最终的驱动程序签名是通过微软授权的下级 CA 签发的证书完成的。
证书链的示例见图 2以及 signtool 的以下输出;见图 3。
图 2:一个 Avast 驱动程序的证书链
图 3:一个 Avast 驱动程序的 signtoolexe 输出
222 驱动程序签名验证对于用户模式软件,数字签名通过从证书颁发者获得的 CRL 列表远程验证。与用户模式软件不同,Windows 驱动程序的签名验证不能在线进行,因为内核启动时没有网络连接。此外,内核启动必须快速,而处理签名验证的合理方法是实现轻量级的验证算法版本。
Windows 系统具有多个 CA 的硬编码根证书,因此可以离线验证签名证书链。然而,内核没有机会通过 CRL 验证签名。过期证书同样适用。综上所述,这种方法由于内核性能和驱动程序的向后兼容性而实施。因此,泄露和被攻击的受信任驱动程序供应商证书对 Windows 安全造成了严重问题。
3 证书撤销列表 (CRL)、UAC 和驱动程序
如前所述,CRL 包含已撤销证书的列表。UAC 应该验证需要更高权限的运行软件的信任链。UAC 对话框随后显示证书验证的状态。最终可能有两种状态,例如已验证发布者或未知发布者[3],见图 1。
然而,我们面临一个场景,即软件是用已撤销证书签署的,而 UAC 并没有阻止其运行。此外,代码签名标记为未知发布者UAC 黄色标题,尽管该证书已在 CRL 中。
31 加密服务和 CRL 存储加密服务确认 Windows 文件的签名,并将文件信息存储在 CUsersltusergtAppDataLocalLowMicrosoftCryptnetUrlCache 文件夹中,包括已验证文件的 CRL。身份验证缓存文件夹的更新,例如,用户通过“属性 gt 数字签名”或使用 signtool 工具手动检查数字签名时,如图 3和图 4所示。证书验证过程处理整个信任链,包括 CRL 和可能的撤销存储在缓存文件夹中。
图 4:通过资源管理器的数字签名列表
CRL 的另一个存储位置是通过证书管理工具访问的“证书存储”;见图 5。该存储可以由本地管理员或域进行管理。
图 5:证书管理工具
32 UAC 的 CRL 验证UAC 本身不在线验证代码签名,或更准确地说是信任链;这可能是出于系统性能考虑。UAC 的代码签名验证通过 CryptnetUrlCache 和系统 Certificate Storage 检查签名和 CRL。因此,UAC 将签署已撤销证书的恶意软件标记为未知发布者,原因在于 CryptnetUrlCache 初始时并未更新。
如果用户使用以下命令手动将适当的 CRL 添加到 Certificate Storage:certutil addstore f Root CSC32010crl
则 UAC 将成功检测该软件为可疑,UAC 提示此信息:“管理员已阻止您运行此应用程序”,而不需借助加密服务,因此处于离线状态。
Windows 更新并不会包括 Microsoft 授权的跨证书颁发机构的 CRL。这一事实通过 Windows 更新和版本的验证如下:
Windows 恶意软件删除工具 x64 v591 (KB890830)202106 用于 Windows 10 版本 20H2 的累积更新的 x64 系统 (KB5003690)Windows 版本:21H1 (OB Build 190431110)总之,UAC 通过系统本地 CRL 存储检查数字签名,而不进行在线的代码签名验证。
33 Windows 驱动程序与 CRL简要回到 Windows 驱动程序代码签名,这一要求由内核决定。内核可以离线验证签名,但在启动时无法检查 CRL,因为加密服务和网络访问不可用。
现在转到关于驱动程序离线 CRL 验证的实验性证据。正如在第 32 节描述的情况所示,UAC 可以离线验证 CRL。因此,验证的假设是,如果适当的 CRL 存储在证书存储中,Windows 内核可以离线验证已加载驱动程序的 CRL。我们使用 DirtyMoe 恶意软件来部署用已撤销证书签名的恶意驱动程序。相关的已撤销证书的 CRL 已导入到 Certificate Storage 中。然而,驱动程序在系统重启后仍然处于激活状态。这表明虽然驱动证书被撤销,且当前 CRL 已导入到 Certificate Storage,但根工具包仍成功加载到内核。这表明内核有很高的概率在本地存储中也避免了 CRL 验证。
4 证书分析
本研究的范围是以下三种证书:
北京凯特瞻宏科技有限公司有效期:2013 年 11 月 28 日 (20000)有效期至:2014 年 11 月 29 日 (15959)序列号:3c5883bd1dbcd582ad41c8778e4f56d9指纹:02a8dc8b4aead80e77b333d61e35b40fbbb010a0撤销状态:2014 年 5 月 22 日撤销 (92859)CRL 分发点:http//csg2crlthawtecom/ThawteCSG2crlIoCs:88D3B404E5295CF8C83CD204C7D79F75B915D84016473DFD82C0F1D3C375F968 376F4691A80EE97447A66B1AF18F4E0BAFB1C185FBD37644E1713AD91004C7B3 937BF06798AF9C811296A5FC1A5253E5A03341A760A50CAC67AEFEDC0E13227C
北京方正阿帕比科技有限公司有效期:2018 年 5 月 22 日 (20000)有效期至:2019 年 5 月 29 日 (140000)序列号:06b7aa2c37c0876ccb0378d895d71041指纹:8564928aa4fbc4bbecf65b402503b2be3dc60d4d撤销状态:2018 年 5 月 22 日撤销 (20001)CRL 分发点:http//crl3digicertcom/sha2assuredcsg1crlIoCs:B0214B8DFCB1CC7927C5E313B5A323A211642E9EB9B9F081612AC168F45BF8C2 5A4AC6B7AAB067B66BF3D2BAACEE300F7EDB641142B907D800C7CB5FCCF3FA2A DA720CCAFE572438E415B426033DACAFBA93AC9BD355EBDB62F2FF01128996F7
上海域联软件技术有限公司有效期:2011 年 3 月 23 日 (20000)有效期至:2012 年 3 月 23 日 (15959)序列号:5f78149eb4f75eb17404a8143aaeaed7指纹:31e5380e1e0e1dd841f0c1741b38556b252e6231撤销状态:2011 年 4 月 18 日撤销 (104204)CRL 分发点:http//csc32010crlverisigncom/CSC32010crlIoCs:15FE970F1BE27333A839A873C4DE0EF6916BD69284FE89F2235E4A99BC7092EE 32484F4FBBECD6DD57A6077AA3B6CCC1D61A97B33790091423A4307F93669C66 C93A9B3D943ED44D06B348F388605701DBD591DAB03CA361EFEC3719D35E9887
41 北京凯特瞻宏科技有限公司我们没有找到关于 北京凯特瞻宏科技 公司的相关信息。Avast 在 2015 到 2021 年间捕获了 124 个用北京凯特证书签署的命中。然而,对于 2021 的预测显示出下降趋势;见图 6。仅在今年前 7 个月捕获了 19 次,因此对今年2021的预测为大约 30 次使用此证书签署的命中。
图 6:北京凯特证书的命中数量和预测
总命中中有 95 位于亚洲;见表 1,其中列出了过去几年显著年份的详细 GeoIP 分布。
年份 / 国家 CN TW UA MY KR HK2015 15 1 3 2018 3 1 22019 19 2 2020 12 46 1 2021 11 8 总计 60 48 3 3 8 2表 1:北京凯特证书的地理分布
恶意软件作者使用该证书签署 61 的监控命中的 Windows 系统驱动程序,16 的情况下用于签署 Windows 可执行文件。总体而言,恶意软件作者似乎将重点放在必须用任何经过验证的证书签名的 Windows 驱动程序上。
42 北京方正阿帕比科技有限公司北京方正阿帕比科技有限公司成立于 2001 年,是北京大学方正集团旗下的一家专业数字出版技术与服务提供商。该公司还开发电子书阅读软件,如 Apabi Reader [4]。
北京方正证书已在 166 次命中中观察到其恶意,涉及 18 个独特的 SHA。最常见的样本是名为“Linkingexe”的可执行文件,在 8 个国家中被检测到,数量最多的是中国,共有 71 次。首次发生和命中峰值均出现在 2018 年。此前几年命中的整体数量较低,我们预测命中数量增加到十几次,如图 7所示。
图 7:北京方正命中的数量和预测
43 上海域联软件技术有限公司上海域联软件技术有限公司成立于 2005 年,为网络运营商提供网络安全保证。其产品涵盖信息安全领域的服务,包括电子商务、企业信息安全、安全服务和系统集成[5]。
与其他相比,上海域联软件证书出现得最为广泛。Avast 在过去八年中抓获了 10500 例使用该证书的情况。此外,使用该证书签署的样本数量呈上升趋势,尽管该证书在 2011 年被其颁发者撤销。此外,2017 年和 2020 年是峰值年份。我们假设发生率呈线性增长,因此2021年的预测基于2021年的前几个月,因此,该撤销证书在2021年也将占主导地位;见图 8中的趋势。我们没有记录导致2018和2019年大幅下降的原因。
图 8:上海域联软件命中的数量和预测
之前的证书仅在亚洲占主导地位,但 上海域联软件 证书在亚洲和欧洲都占优势,如图 9所示。主要国家是台湾和俄罗斯,而中国和泰国接近;详细的国家分布参见表 2,包括一些选定国家。
图 9:上海域联软件点的大陆视图命中分布
年份 / 国家 TW RU CN TH UA BR EGHK IN CZ2016 6 18 2 2017 925 28 57 4 12018 265 31 79 4 3 26 4 1 22019 180 54 56 10 9 98 162 5 45 12020 131 1355 431 278 232 112 17 168 86 24总计 1507 1468 641 292 244 242 183 174 131 28表 2:上海域联软件证书的地理分布
海鸥加速app下载正如前面的例子一样,恶意软件作者使用 上海域联软件 证书签署 75 的命中率的 Windows 驱动程序。另有 16 用于 EXE 和 DLL 可执行文件;见图 10,详细的分布。
图 10:上海域联软件文件类型分布
431 前 10 个捕获文件的分析我们在这一小节总结了出现频率最高的文件。表 3 显示了与用户应用程序相关的前 10 个可执行文件的出现情况。我们并不专注于 DirtyMoe 驱动程序,因为该主题已在DirtyMoe 根工具包驱动程序中记录。
命中文件名 命中次数 命中文件名 国家数量WFPDrivesys 1056 Denuvo64sys 81LoginDrvSsys 1046 WsAPFilmoradll 73Denuvo64sys 718 SlipDrv7sys 20WsAPFilmoradll 703 uTorrentexe 47uTorrentexe 417 RTDriversys 41SlipDrv7sys 323 SlipDrv10sys 42LoginNpDriveX64sys 271 SbieDrvsys 22RTDriversys 251 SlipDrv81sys 16SlipDrv10sys 238 ONETAP V4EXE 16SbieDrvsys 189 ECDMsys 13表 3:文件名称的最常见出现:命中次数和国家数量
我们已识别出用 上海域联软件 证书签名的五个最常见的可执行文件。恶意软件作者针对流行且常用的用户应用程序,如视频编辑器、通信应用程序和视频游戏。
1) WFPDrivesys
WFP 驱动程序出现在 CProgramData 的 AppV 应用虚拟化文件夹中。该驱动可过滤网络流量,类似于防火墙[6]。因此,恶意软件可以阻止并监控任意连接,包括传输数据。恶意软件无需特殊权限即可写入 ProgramData 文件夹。驱动程序和 AppV 的文件名在第一眼看起来并不引人注意,因为 AppV 使用基于 WFP 平台的 HyperV 虚拟交换机[7]。
当然,该驱动必须在具有管理员权限的进程中加载。随后,该进程必须申请特定权限,即 SeLoadDriverPrivilege加载和卸载设备驱动程序,以成功加载驱动程序。进程通过 API 调用 EnablePriviliges 请求该权限,AV 可以监控这一过程。不幸的是,Windows 会加载已撤销证书的驱动程序,因此整个安全机制固有缺陷。
2) LoginDrvSsys
进一步来说, LoginDrvS 驱动程序使用与 WFP 驱动程序类似的原理。该恶意软件将其驱动程序伪装在常用应用程序文件夹中。它在用于启动各种应用程序主要是视频游戏的 LineageLogin 应用程序文件夹中进行伪装。LineageLogin 使用 Pascal 实现[8]。LineageLogin 本身包含一个可疑的嵌入式 DLL。不过,超出此主题。此外,这两个驱动程序WFPDrivesys 和 LoginDrvSsys可能来自同一恶意软件作者,因为它们的 PDB 路径表明:
fprojectscwin7pgkillamd64LoginDrvSpdb10 个独特样本fprojectscwfpobjfrewin7amd64amd64WFPDrivepdb8 个独特样本类似行为在 TrojanMulDrop1618994 中有所描述,见[9]。
3) Denuvo64sys
Denuvo 是一种被全世界数百个编程公司使用的反盗版保护技术[10]。这一解决方案是一个合法的根工具包rootkit,也能够检测作弊模式和其他不当活动。因此,Denuvo 必须使用内核驱动程序。
部署恶意驱动程序的简单方法是通过用户仍然大量下载的破解。恶意软件作者将恶意驱动程序打包到破解中,用户每次运行破解时都会准备一个后门。恶意驱动程序执行用户期望的功能,例如反防作弊或可执行文件的打补丁,但很常见的是它也同时提供一个后门。
在 1046 个案例中,我们发现了 8 个独特的 Denuvo 恶意驱动程序样本。最常见的发生地是俄罗斯;见图 11。与视频游戏破解相关的最常见命中如下:Constructor Injustice 2 Prey Puyo Puyo Tetris TEKKEN 7 Ultimate Edition Total War Warhammer 2 TotalWar Saga Thrones of Britannia。
图 11:Denuvo 驱动程序在各国的分布
4) WsAPFilmoradll
Wondershare Filmora 是一款简单的视频编辑器,提供免费和付费版本[11]。因此,破解和恶意活动有其立足之地。所有命中路径都指向破解活动,用户试图绕过 Filmora 编辑器的试用版本。没有捕获到 PDB 路径,因此我们无法确定签署同一证书的恶意软件作者。WsAPFilmoradll 在全球范围内广泛传播73 个国家;详细的国家分布见图 12。
图 12:Filmora DLL 在各国的分布
5) Torrentexe
Torrent 是一款免费下载 P2P 客户端,用于 BitTorrent 网络[12]。Avast 检测到 417 次恶意 Torrent 应用程序的命中。该恶意应用程序基于原始的 Torrent 客户端,具有相同的功能、用户界面和图标。如果用户下载并运行这个更新的 Torrent 客户端,应用程序的行为和设计对用户来说并没有异样。
原始应用程序是由 Bit Torrent Inc 证书签署的,而恶意版本则是使用 上海域联软件 证书签署的。希望检查数字签名的普通用户会看到该可执行文件已被签署。然而,关于签名的可疑性的信息位于细节中,初看并不可见,见图 13。
图 13:原始及恶意 Torrent 客户端的数字签名
恶意签名包含中文字符,尽管样本的流行度指向俄国。此外,中国没有相关命中。图 14 表示恶意 Torrent 应用程序的详细国家分布。
图 14:Torrent 客户端在各国的分布
432 YDArk 根工具包我们发现了一个Github 仓库,其中包含一个 YDArk 工具,通过签署被盗证书的驱动程序监控系统活动。最后一次签名是在 2021 年 5 月进行的;因此,尽管该证书在 10 年前就被撤销,但似乎仍在使用。该仓库由两名用户管理,均位于中国。YDArk 驱动程序已由ScriptBoy2077使用被盗证书签署,他承认该证书是被盗且已过期,并在该备注中写道:
“我已经用一个被盗的、过期的证书签署了 sys 文件,希望能对那些不知道如何加载未签名驱动程序的朋友有帮助。”
被盗证书的私钥在清网中是不可用的。我们通过证书名称、序列号、散列等进行了搜索;因此,我们可以假设该证书和私钥可能隐藏在暗网中,并在一个小型恶意软件作者社区内共享。因此,YDArk 和 DirtyMoe 驱动程序之间的关系引人注目。此外,DirtyMoe 的 CampC 服务器一般也位于中国,正如我们在DirtyMoe 介绍和概述中所描述的那样。
5 讨论
本研究最有趣的发现是 Windows 允许加载带有已撤销证书的驱动程序,即使适当的 CRL 已被本地存储。Windows 成功离线验证用户模式应用程序的签名撤销。这表明,Windows 内核尝试加载带有已撤销证书的驱动程序时,会忽略 CRL 检查。因此,可以推测,因启动时性能的原因缺失 CRL 验证的实现。因此,需要进一步研究以完全理解驱动程序加载和 CRL 验证的过程及其实现。
另一个重要发现是,对于需要更高权限的用户模式应用程序,UAC 在验证数字签名时并没有查询在线 CRL。令人惊讶的是,UAC 仅在用户在运行程序之前手动检查信任链时才会阻止程序执行;换句话说是在 UAC 运行之前下载和更新当前 CRL 的情况下。因此,证据表明 UAC 并不能完全保护用户免受已撤销证书签名的恶意软件的侵害。因此,用户在看到 UAC 出现时应保持谨慎。
DirtyMoe 的驱动程序使用了我们在本研究中分析的三种证书。证据表明,DirtyMoe 的证书被用于其他潜在恶意软件的代码签名。确切确定有多少恶意软件作者使用撤销证书是困难的。我们对一些独特的 SHA 样本进行了分类,指向同一恶意软件作者,通过 PDB 路径。然而,许多其他群体无法明确识别。恶意软件作者使用撤销证书的可能性相对较小,但需要进一步工作以对已签名软件进行代码相似性比较来确认这一假设。该假设得到了一个关键支持,即样本在如此长的时间跨度内主要集中在台湾和俄罗斯。此外,被泄露的私钥常常在互联网上可用,但没有撤销证书的记录。这可能意味着私钥在某一特定的恶意软件作者群体内进行转移。
根据这些数据,我们可以推断 上海域联软件技术 的证书是实际使用中最常见的,并且仍在上升,尽管该证书已于 10 年前被撤销。地质数据表明,恶意软件作者主要针对亚洲和欧洲两大洲,但这背后的原因尚不明确;因此仍有待探讨。关于被滥用软件的类型,使用 上海域联软件 证书签署的样本分析确认,大多数样本是与破解或修补软件一起部署的根工具包。其他类型的滥用软件则是流行的用户应用程序,如视频游戏、通信软件、视频编辑器等。一个问题是用户观察到可疑软件的正常行为,但恶意机制或后门常常也被植入其中。
总之,DirtyMoe 的证书仍被用于其他软件的代码签名,尽管这些证书在许多年前已被撤销。
6 结论
对 DirtyMoe 驱动程序根工具包的恶意软件分析发现了三种用于签署可疑可执行文件的证书。这些证书在有效期中途被撤销。但这些证书仍广泛用于其他恶意软件的代码签名。
被撤销的证书主要被滥用于 Windows 驱动程序根工具包的代码签名,因为 64 位 Windows 系统开始要求驱动程序签名以增强安全性。另一方面,Windows 并未实现通过 CRL 验证签名。此外,恶意软件作者滥用这些证书为流行软件签名,以提高可信度,而这些软件往往被修补为恶意负载。另一个关键点是 UAC 针对本地 CRL 验证签名,可能并不实时更新。当用户想要运行高权限软件时,UAC 不会下载当前版本的 CRL。因此,这可能是一个严重的弱点。
一个不确定的来源是滥用撤销证书的恶意软件作者的起源。一切都指向一个主要位于中国的狭小作者群体。进一步对已签名样本的调查是必须的,以确认这些样本是否包含具有相似功能或代码相似性的有效负载。
总体而言,这些结果和统计数据表明,Windows 用户在运行从陌生来源下载的程序时仍然不够谨慎,包括各种破解和注册码生成器。此外,Windows 的机制脆弱且无效,未能强有力警告用户试图运行带有撤销证书的软件,尽管有技术手段可以验证数字签名的有效性。
参考文献
[1] 驱动程序签名[2] 内核模式代码签名的交叉证书[3] Windows 如何处理已撤销证书的发布者签署的运行文件[4] 北京方正阿帕比科技有限公司[5] 上海域联软件技术有限公司[6] WFP 网络监控驱动程序防火墙[7] HyperV 虚拟交换机[8] Lineage 登录[9] Dr Web TrojanMulDrop1618994[10] Denuvo[11] Filmora[12] Torrent
标记为证书、DirtyMoe、根工具包、系列
分享: XFacebook
海鸥加速器最新版提供自动节点切换功能,确保网络连接更稳定、快速。