恶意病毒伪造微软等签名绕过安全软件检测后疯狂挖矿

日前火绒安全团队发现有恶性病毒通过伪造微软等知名公司的数字签名来绕过安全软件查杀并进行挖矿操作。

该病毒还会帮助用户安装广告屏蔽软件Adblock Plus然后检测并过滤用户的比特币钱包信息用于盗取比特币。

此外黑客还可通过内置的后门程序远程操纵用户设备,在有需要的情况下甚至可以释放勒索软件来勒索用户。

冒充其他软件工具诱导用户安装:

最初攻击者将病毒伪装成猎豹移动旗下的金山软件安装工具来诱导用户下载和安装,同时还附带着数字签名。

火绒安全实验室在进行分析和测试时发现,虽然每次加载的文件哈希值均不相同但其主要内容基本没有差异。

若用户轻信其描述然后进行安装那就会被病毒感染,此后病毒就开始在系统后台悄悄挖矿以及执行其他操作。

恶意病毒伪造微软等签名绕过安全软件检测后疯狂挖矿

利用用户设备挖掘门罗币:

现在很多病毒在成功感染用户设备后释放挖矿模块,然后持续在后台占用大量硬件资源挖掘虚拟货币门罗币。

这款病毒通过隐蔽性很强的无文件加载技术悄悄驻留在后台,对于多数普通用户来说基本不大可能发现异常。

似乎是黑产团队已经发现火绒安全发布分析文章,因此现在查看对应的门罗币收款地址平均算力已经降至零。

这说明黑产团队可能已经通过远程指令停止被感染的设备挖矿,当然也可能已经变更挖矿地址为不让人发现。

截止到今日该黑产团队已经获得支付的门罗币为0.5929个,按当前门罗币市价来算折合人民币后大约860元。

恶意病毒伪造微软等签名绕过安全软件检测后疯狂挖矿

伪造知名公司无效的数字签名却绕过多数安全软件查杀:

该黑产团队不论是技术上还是攻击逻辑上应该都是非常有经验的,至少对安全软件的查杀模式是非常了解的。

我们知道无效的数字签名无法通过系统进行验证,同时任何人也都可以通过工具非常轻松的生成自签名证书。

这次攻击中黑产团队伪造微软、亚马逊以及火绒杀毒的数字签名,就这些无效签名依然绕过多数杀软的拦截。

下图:伪造的微软数字签名,可以看到当系统尝试加载时已经提示证书链不受信任因为被识别为无效的签名。

恶意病毒伪造微软等签名绕过安全软件检测后疯狂挖矿

下图:伪造的火绒杀毒数字签名

恶意病毒伪造微软等签名绕过安全软件检测后疯狂挖矿

众多杀软的软肋:白名单+无法正确识别证书

上面之所以我们称黑产团队经验丰富是因为对伪造证书的利用,因为很多安全软件无法正确识别无效的证书。

数字签名作为正规厂商确保自家软件不被篡改的凭证,被系统和多数安全软件信任因此很多会直接进行放行。

根据美国马里兰州大学研究人员在 2017 年的分析表明,即便是过期及被吊销的证书依然会被很多杀软放行。

即便是研究人员测试了卡巴斯基、微软、趋势科技、赛门铁克以及腾讯等安全软件也没能够全部检测出样本

同等条件下这些病毒样本被去除过期数字签名后却基本都能被检测出来,说明安全软件无法有效的识别证书

目前火绒杀毒已经可以对上述恶性病毒进行查杀,电脑存在明显卡顿或其他异常的用户可下载火绒进行检测。

本文来源 火绒安全,由 山外的鸭子哥 整理编辑,其版权均为 火绒安全 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
哇哦恭喜您已成功屏蔽了蓝点网的小广告
扫码关注蓝点网微信公众号

评论:

2 条评论,访客:2 条,站长:0 条
  1. kc1127
    kc1127发布于: 
    Firefox 60.0 Firefox 60.0 Windows 8.1 64位版 Windows 8.1 64位版

    火绒飘过…

发表评论