【安全资讯】DirtyMoe恶意软件使用中国公司的已撤销的证书对其签名

DirtyMoe 恶意软件是一种复杂的恶意后门程序，设计为模块化、不可检测和不可追踪。DirtyMoe 的主要目标是加密劫持和 DDoS 攻击。基本上，它可以做任何攻击者想做的事情。之前发表在DirtyMoe: Introduction and General Overview 的研究表明，DirtyMoe 还采用了各种自我保护和反取证机制。保护 DirtyMoe 的更重要的保护措施之一是 rootkit。使用 rootkit 的重要之处在于它提供了高级技术来隐藏内核层的恶意活动。由于 DirtyMoe 是复杂的恶意软件，并且经过了长期的发展，因此恶意软件的作者也实施了各种 rootkit 机制。该DirtyMoe：Rootkit的驱动程序帖子详细检查了 DirtyMoe 驱动程序功能。
然而，rootkit 驱动程序的另一个重要方面是数字签名。rootkit 通常使用 Windows 驱动程序来利用系统。Microsoft 已开始要求使用驱动程序供应商信任并由 Microsoft 信任的证书颁发机构 (CA) 验证的证书进行代码签名。尽管如此，Windows 不允许加载自 64 位 Windows Vista 及更高版本以来的未签名驱动程序。尽管代码签名的原则是正确和安全的，但 Windows 允许加载证书颁发者已明确撤销使用的证书的驱动程序。这种行为的原因是多种多样的，无论是性能还是向后兼容性。这种证书管理的弱点是恶意软件作者是否窃取了过去已由 Microsoft 验证并由 CA 撤销的任何证书。然后恶意软件作者可以将此证书用于恶意目的。DirtyMoe 正是这种情况，它仍然用被盗的证书签署其驱动程序。此外，由于驱动程序是在内核模式下加载的，因此用户无法通过用户帐户控制（UAC）影响协同设计验证。
受吊销证书驱动加载驱动，本文主要研究Windows内核态和用户态代码签名运行机制分析；以及用于 DirtyMoe 驱动程序代码签名的证书的详细分析。
关于 UAC 的原理，以及 Windows 如何管理证书吊销列表 (CRL)，还有一些观察结果。本文的其余部分旨在详细审查有关已用于对 DirtyMoe 驱动程序的签名进行编码的证书的可用信息。
到目前为止，研究小组已经发现并确认了三种不同的证书是恶意的。使用这些证书签名的驱动程序可以加载到 64 位 Windows 内核中，尽管它们已被撤销。最后一部分的初始目标是从统计的角度分析可疑证书。我们研究了三个观点。第一个是使用恶意证书签名的捕获样本的地质来源。第二个方面是捕获样本的数量，包括每个证书的预测因子。最后选择的参考框架是关于已签名软件类型的统计概览，因为恶意软件作者使用证书对各种软件进行签名，例如，已用恶意负载修补的破解软件或其他流行的用户应用程序。我们选择了使用撤销证书签名的前 10 名软件并进行了快速分析。此软件的类别有助于我们确定恶意软件作者签名的主要目标软件类型。这项研究的另一个重要范围是寻找有关证书可能已泄露或被盗的公司的信息。

本研究的范围是以下三个证书：

北京凯特展鸿科技有限公司
有效期自：2013 年 11 月 28 日 (2:00:00)
有效期至：2014 年 11 月 29 日 (1:59:59)
SN：3c5883bd1dbcd582ad41c8778e4f56d9
指纹：02a8dc8b4aead80e77b333d61e35b40fbbb010a0
撤销状态：已于 2014 年 5 月 22 日撤销（9:28： 59)
CRL 分发点：http
://cs-g2-crl.thawte.com/ThawteCSG2.crl IoCs：
88D3B404E5295CF8C83CD204C7D79F75B915D84016473DFD82C0F1D3C375F968
376F4691A80EE97447A66B1AF18F4E0BAFB1C185FBD37644E1713AD91004C7B3
937BF06798AF9C811296A5FC1A5253E5A03341A760A50CAC67AEFEDC0E13227C

北京方正阿帕比科技有限公司
有效期：22-May-2018 (2:00:00)
有效期：29-May-2019 (14:00:00)
SN：06b7aa2c37c0876ccb0378d895d71041
指纹：8564928aa4fbc4bbecf65b402503b2be3dc60d4d
撤销状态：22-May- 2018 撤销(2:00:01)
CRL 分发点：http
://crl3.digicert.com/sha2-assured-cs-g1.crl IoC：
B0214B8DFCB1CC7927C5E313B5A323A211642E9EB9B9F081612AC168F45BF8C2
5A4AC6B7AAB067B66BF3D2BAACEE300F7EDB641142B907D800C7CB5FCCF3FA2A
DA720CCAFE572438E415B426033DACAFBA93AC9BD355EBDB62F2FF01128996F7

上海宇联软件技术有限公司 (上本身联软件技术有限公司)
有效期：2011 年 3 月 23 日 (2:00:00)
有效期：2012 年 3 月 23 日 (1:59:59)
SN:5f78149eb4f75eb17404a8143aaeaed7
指纹：31e5380e1e0e1dd841f0c1741b38556b252e6231
撤销状态：撤销于 2011 年 4 月 18 日 (10:42:04)
CRL 分发点：http
://csc3-2010-crl.verisign.com/CSC3-2010.crl IoC：
15FE970F1BE27333A839A873C4DE0EF6916BD69284FE89F2235E4A99BC7092EE
32484F4FBBECD6DD57A6077AA3B6CCC1D61A97B33790091423A4307F93669C66
C93A9B3D943ED44D06B348F388605701DBD591DAB03CA361EFEC3719D35E9887

DirtyMoe 驱动程序 (rootkit) 的恶意软件分析发现了三个用于对可疑可执行文件进行协同设计的证书。证书已在其有效期中途被吊销。但是，这些证书仍然广泛用于其他恶意软件的协同设计。
吊销的证书主要被误用于恶意 Windows 驱动程序（rootkit）的代码签名，因为 64 位 Windows 系统已经开始要求驱动程序签名以提高安全性。另一方面，Windows 没有通过 CRL 实现签名验证。此外，恶意软件作者滥用证书对流行软件进行签名以提高可信度，而该软件则使用恶意有效负载进行修补。另一个要点是 UAC 根据本地 CRL 验证签名，这可能不是最新的。当用户希望以最高权限运行软件时，UAC 不会下载当前版本的 CRL。因此，它可能是一个严重的弱点。
不确定性的来源之一是滥用已撤销证书的恶意软件作者的来源。一切都指向主要位于中国的一小部分作者。需要对签名样本进行进一步调查，以确认样本包含具有相似功能或代码相似性的有效负载。
总体而言，这些结果和统计数据表明，Windows 用户在运行从奇怪来源下载的程序（包括各种破解程序和密钥生成器）时仍然粗心大意。此外，Windows 有一个薄弱且无效的机制，会强烈警告用户他们试图运行带有吊销证书的软件，尽管有一些技术可以验证数字签名的有效性。