摘要:网络安全公司Expel的研究人员揭露了一个长期滥用软件分发信任模型的恶意软件活动。分析显示,被追踪为BaoLoader的恶意软件(此前通过AppSuite-PDF和PDF Editor等渠道传播)背后的开发者,系统性地滥用代码签名证书已超过七年。
网络安全公司Expel的研究人员揭露了一个长期滥用软件分发信任模型的恶意软件活动。分析显示,被追踪为BaoLoader的恶意软件(此前通过AppSuite-PDF和PDF Editor等渠道传播)背后的开发者,系统性地滥用代码签名证书已超过七年。Part01证书滥用构成核心攻击手段报告指出:"我们证实,近期AppSuite-PDF和PDF Editor活动背后的开发者,在过去七年中至少使用了26个代码签名证书,使其软件看似合法。"最初被视为潜在有害程序(PUP)的这些软件,现已被证实与欺诈操作和后门活动相关。"近期对软件及其与欺诈活动关联的分析表明,我们需要重新评估对其性质的认知。"该攻击方案的核心在于滥用代码签名证书——这些证书本应作为Windows和macOS生态系统的数字信任锚点。Expel解释称:"攻击者注册新公司获取代码签名证书生成权限...随后用这些证书签署其恶意软件,这些软件通常伪装成潜在有害程序。"Part02跨国空壳公司掩护恶意活动这种手法仿效了企业身份盗用。通过在巴拿马、马来西亚甚至美国注册空壳公司,运营者获得的证书使得恶意二进制文件能够绕过杀毒软件和操作系统警告。值得注意的是,"攻击者使用了15个颁发给巴拿马企业的代码签名证书...以及5个马来西亚企业证书。数据库中其他攻击者均未使用这些国家的证书。"Part03恶意软件生态持续演变与BaoLoader相关的恶意软件生态包含一系列PDF编辑工具——AppSuite-PDF、ManualFinder、PDFTools、PDFProSuite和OneStart——均以不同企业名义分发,但共享证书指纹。一个持续存在的行为是使用带后门的安装程序。"AppSuite-PDF是个简易应用程序,主要功能是下载安装PDF Editor应用...但它同时携带后门。"此外,OneStart等变种通过欺骗性PDF编辑器广告和捆绑软件传播,显示犯罪分子如何利用日常生产力工具作为诱饵。Part04与其他恶意软件家族的区分BaoLoader对证书和分发方式的滥用,曾导致部分研究人员将其与Chromeloader和TamperedChef混淆。Expel澄清:"这些名称被错误地用于指代该恶意软件,但区分它们对研究和执法至关重要。"虽然BaoLoader与Chromeloader共享某些特征(如使用计划任务实现持久化、加载Chrome扩展等),但其证书历史记录和基础设施存在差异。同样,TamperedChef的"食谱应用"木马具有完全不同的证书来源。Part05信任机制面临严峻挑战代码签名证书是现代软件信任体系的基石。当被大规模滥用时,犯罪分子得以伪装成合法开发者。Expel强调:"代码签名证书本用于验证软件来源...BaoLoader就是个典型案例,但多年来相对未被察觉。"对防御者而言,发现证书使用异常与检测恶意代码同等重要。"最明显的迹象是软件、应用元数据与应用本身信息不一致。"企业应采取更严格的应用程序控制措施,如微软AppLocker或企业应用白名单,防止未经授权的可执行文件运行——即使它们看似经过签名。参考来源:
Unveiling BaoLoader: How One Malware Family Abuses Trust for 7 Years
https://securityonline.info/unveiling-baoloader-how-one-malware-family-abuses-trust-for-7-years/
电台讨论
来源:FreeBuf
免责声明:本站系转载,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本站联系,我们将在第一时间删除内容!
