木马盗用“湖南省农村信用社”签名兴风作浪

数字签名相当于一款软件的身份证,身份证如果丢了,那意味着可能会有其他人冒用你的身份去做坏事,而如果数字签名丢了,情况是完全一样的。
最近,360安全中心就监控到了大量恶意程序(主要是远控木马)使用了“湖南省泥岗村信用社”的数字签名————“Hunan Rural Credit Cooperative”,并且签名有效。这意味着该签名已经被盗用做木马传播了,而一些传统安全软件往往内置了针对数字签名的信任机制,这也就导致了这批木马可以冒用“湖南省农村信用社”的名义顺利的进行传播。

0x00 打了签名的假私服

样本MD5:8f177a01cd4db3cfeb781b4b2b19f541
该样本伪装成传奇私服的样子,误导用户,并且程序还带上了我们上面说的数字签名“Hunan Rural Credit Cooperative”
image001

0x01 释放木马

运行后,样本会先释放一份私服登录器到Program Files目录下,用来误导用户,让用户举得自己运行的真的是一个私服登录器。
image003
但此时,作恶才刚刚开始。样本分别释放了两套相同的远控程序到Program Files和Windows NT目录下(文件名略有不同)。
1) Program Files目录:
image005
image006
image007
2) Windows NT目录:
image008
image010
image012
同时,需要注意的是,两个目录下,释放的Potplayer.dll文件,也是带有相同的数字签名:
image014

0x02 运行私服界面

释放完成后,样本会先运行Program Files目录下的私服登录器,让迷惑用户
image016

0x03 木马启动

正在用户美滋滋的用着自己刚下回来的私服登录器的时候,真正的木马已经在后台偷偷启动了。
image018
image020
而木马会分别加载自己同目录下的Potplayer.dll
image022
该dll是一个loader,作用就是加载同目录下的Torchwood.ocx中的shellcode代码到内存中,并执行:
image024
image028

0x04 远程控制

shellcode是一个远控木马,会访问imapi.f3322.org并发起远控上线请求
image028
image030
而上线数据包通过zlib简单解码,可以清晰的看到明文的系统版本、计算机名、上线时间等信息:
image032