攻擊者從台灣科技公司竊取證書用於Plead惡意軟體活動

ESET研究人員發現一款濫用竊取的數字證書的惡意軟體活動。系統中的安全軟體將惡意軟體活動中的許多協議標記為可疑的（suspicious）。但這些被標記的文件使用的是有效的D-Link公司代碼簽名證書。完全同樣的證書之前也被用於對非惡意頂D-Link軟體進行簽名；因此，證書貌似被竊取了。

在確認了文件的惡意本質後，研究人員通知了D-Link，然後D-Link自己對該事件進行了分析。2018年7月3日，D-Link撤銷了被黑的數字證書。

圖1. 用於對惡意軟體簽名的 D-Link代碼簽名證書

惡意軟體

分析發現兩個濫用被竊證書的惡意軟體家族，Plead是一個遠程控制的後門和相關的密碼竊取組件。最近JPCERT發布了對Plead後門的深度分析，Trend Micro分析稱，Plead是網路監控組織BlackTech使用的惡意軟體。

圖2. 用於對惡意軟體簽名的Changing Information Technology代碼簽名證書

根據用D-Link證書籤名的Plead樣本，ESET研究人員識別了一些用屬於台灣安全公司Changing Information Technology的證書籤名的樣本。雖然BlackTech組織使用Changing Information Technology的證書來簽名，但早在2017年7月4日，該證書就被撤銷了。

黑掉許多台灣科技公司並使用代碼簽名證書用於未來的攻擊，表明該組織攻擊能力非常強，並且重點攻擊區域就是台灣。

簽名的Plead惡意軟體樣本還用一些沒有用的樣本進行混淆了，但是惡意軟體的目的與其他樣本是相似的：從遠處伺服器中下載，然後在本地打開一個加密的二進位大對象。該二進位大對象含有加密後的shellcode，這是從最後的Plead後門模塊去下載。

圖3. Plead惡意軟體的混淆後的代碼

密碼竊取器是用來收集下面列表中應用保存的密碼：

·Google Chrome

·Microsoft Internet Explorer

·Microsoft Outlook

·Mozilla Firefox

為什麼要竊取數字證書？

濫用數字證書是網路犯罪分子嘗試隱藏惡意目的新方法之一，因為竊取的證書會讓惡意軟體看起來是合法的，這樣有很大概率會繞過安全軟體的檢測。

目前使用竊取數字證書最臭名昭著的惡意軟體應該是2010年發現的Stuxnet蠕蟲。Stuxnet使用的是竊取自RealTek和JMicron的數字證書，這兩個公司也是台灣的著名科技公司。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！