網路安全公司ESET的研究人員在近日發現了一個新的惡意軟體分發活動，濫用了從D-Link和一家台灣科技公司竊取來的數字證書。

研究人員表示，ESET的檢測系統將多個文件標記為可疑時，他們發現了這場惡意活動。有趣的是，被標記的文件使用了有效的D-Link公司代碼簽名證書進行數字簽名。而完全相同的證書被用於簽署非惡意的D-Link軟體。因此，證書很有可能是遭到了竊取。

在確認這些文件具有惡意性質之後，ESET公司通知了D-Link，該公司對此事展開了自己的調查。這也導致了被盜的數字證書在2018年7月3日被D-Link撤銷。

圖1.用於簽署惡意軟體的D-Link公司代碼簽名證書

用於什麼惡意軟體？

研究人員表示，他們的分析共發現了兩個不同的惡意軟體家族濫用了被盜證書——Plead惡意軟體，一個遠程控制後門，以及一個相關的密碼竊取程序組件。最近，日本計算機應急響應小組（JPCERT）發布了針對Plead後門的透徹分析。而根據趨勢科技的說法，它由網路間諜組織BlackTech所使用。

圖2.用於簽署惡意軟體的Changing Information Technology Inc.

除了使用D-Link證書籤署的Plead樣本外，ESET研究人員還確認了使用屬於一家名為「Changing Information Technology Inc.」的台灣信息技術公司的證書籤署的Plead樣本。

儘管Changing Information Technology Inc.證書已於2017年7月4日被撤銷，但BlackTech組織仍在使用它來簽署他們的惡意工具。

在攻擊中，能夠破壞幾家台灣科技公司並濫用其代碼簽名證書的能力表明，該組織的技術十分高超，並專註於該地區。

已簽名的Plead惡意軟體樣本使用了垃圾代碼來進行高度混淆，但惡意軟體的目的在所有樣本中都類似：它從遠程伺服器下載或從本地磁碟打開一個小型的且經加密的二進位blob。這個二進位blob包含經加密的shellcode，它會下載最終的Plead後門模塊。

圖3. 經混淆的Plead惡意軟體代碼

密碼竊取程序工具用於從以下應用程序收集保存的密碼：

Google Chrome

Microsoft Internet Explorer

Microsoft Outlook

Mozilla Firefox

為何要竊取數字證書？

濫用數字證書是網路犯罪分子試圖掩蓋其惡意意圖的眾多手段之一，因為使用被盜證書會使惡意軟體看起來像是合法應用程序，惡意軟體將更有可能偷偷地通過安全措施而不會引起懷疑。

在此類惡意軟體中，最臭名昭著的可能就是在2010年被發現的Stuxnet蠕蟲病毒了，它在當時使用了從另外兩家台灣知名科技公司RealTek和JMicron竊取來的證書。

然而，這種策略顯然並不會僅僅局限於類似Stuxnet這樣高調的攻擊活動，最近的這一發現就很好地證明了這一點。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！