VirusTotal 惡意軟件濫用信任報(bào)告

時(shí)間：2023-02-19 22:44:01 | 來源：建站知識(shí)

時(shí)間：2023-02-19 22:44:01 來源：建站知識(shí)

VirusTotal 惡意軟件濫用信任報(bào)告：惡意軟件會(huì)利用用戶的信任進(jìn)行傳播，例如通過合法域名分發(fā)、偽裝成合法軟件與使用合法證書等方式。

在過去的 16 年里，VirusTotal 每天要處理來自 232 個(gè)國(guó)家/地區(qū)超過 200 萬個(gè)?件。VirusTotal 利?龐大的數(shù)據(jù)結(jié)合社區(qū)提供的上下文，提供對(duì)威脅演變的理解。

通過合法域名分發(fā)

通過合法服務(wù)分發(fā)惡意軟件，這樣可以降低受害者的戒心，也可以避免觸發(fā)使用惡意域名帶來的告警，還能夠防止執(zhí)法機(jī)構(gòu)拆除攻擊者搭建的攻擊基礎(chǔ)設(shè)施。

在 Alexa 的 TOP 1000 域名中，共發(fā)現(xiàn)了 101 個(gè)域名分發(fā)了大約 2.5 萬個(gè)可疑文件（至少被五個(gè)反病毒軟件檢出）。

在 2022 年發(fā)現(xiàn)的樣本中，分發(fā)渠道涉及合法域名的如下所示：

可以發(fā)現(xiàn)，使用合法域名傳播的可疑樣本基本都集中在六個(gè)域名中。國(guó)內(nèi)的情況，騰訊、百度和腳本之家都位列前十。

有效證書

在 VirusTotal 的數(shù)據(jù)中，自 2021 年以來有超過 100 萬個(gè)帶有證書的樣文件被認(rèn)為是可疑樣本（超過 15% 的檢測(cè)引擎將其檢測(cè)為惡意樣本）。但是，
并?所有樣本都帶有有效證書，攻擊者可能會(huì)重復(fù)使?已撤銷或?效的證書，而通常受害者并不會(huì)檢查證書鏈的有效性。VirusTotal 中的這些樣本，有近 13% 在上傳時(shí)都沒有使用有效證書。

帶有證書的文件中超過 99% 都是 PE 可執(zhí)行文件或者 DLL 文件，下圖是 VirusTotal 中帶有證書的惡意 PE 文件數(shù)量變化的曲線，峰值出現(xiàn)在 2022 年 1 月。

80% 的樣本被檢測(cè)引擎標(biāo)記為 OpenInstall PUA，這些樣本都是由 OI Software, Inc 與 OpenInstall, Inc 簽名的 WinZip 安裝程序。

?約 95 萬個(gè)樣本在?次提交時(shí)帶有有效證書。下圖顯?了 TOP 10 的證書頒發(fā)機(jī)構(gòu)，超過一半都集中在 Sectigo。

?約 1.1% 帶有證書的惡意樣本在?次上傳到 VirusTotal 時(shí)證書已被撤銷。下圖顯?了從 2022 年開始?次上傳到 VirusTotal 時(shí)，使?已撤銷證書的樣本文件數(shù)量變化的曲線。

年初的峰值，與使用吊銷證書 Skill on Net 的虛假 Adobe Flash Downloader 有關(guān)。

攻擊者會(huì)竊取合法簽名證書來部署惡意軟件，以下時(shí)間線顯?了使?被盜的 Nvidia 證書簽名的惡意軟件的演變過程，存在兩個(gè)峰值：

偽裝成合法軟件

根據(jù)圖標(biāo)的相似性，查找偽裝成合法軟件的惡意樣本。選取了 25 個(gè)常用軟件的圖標(biāo)，下圖為此類樣本數(shù)量變化的曲線。

根據(jù) VirusTotal 的數(shù)據(jù)，下圖顯?了圖標(biāo)被濫?最多的應(yīng)?程序。這些軟件是很典型的國(guó)外的特征，國(guó)內(nèi)的情況應(yīng)該是另一番光景。

該類文件的惡意比例存在較大差異，這應(yīng)該也是攻擊者選擇模仿什么軟件的重要原因之一。

Adobe Acrobat、Skype 和 7zip ?常常見，惡意比例非常高，這也是非常需要注意的前三個(gè)應(yīng)?程序與圖標(biāo)。

根據(jù)網(wǎng)站的 favicon 的相似性進(jìn)行分析，惡意 URL 模仿合法網(wǎng)站最多的如下所示：

從惡意比例上來看，云服務(wù)與即時(shí)通信軟件都名列前茅。

與合法軟件捆綁在一起的惡意軟件

攻擊者通過將惡意軟件打包到安裝包中，將惡意軟件偽裝成合法軟件的一部分。當(dāng)攻擊者能夠觸達(dá)官方下載服務(wù)器、程序源代碼或者證書時(shí)，就可以展開供應(yīng)鏈攻擊。

在 VirusTotal 中檢索了與提供軟件下載服務(wù)的 35 個(gè)合法域名相關(guān)的樣本，從 2020 年至今共有 8 萬個(gè)文件，其中大約 80 個(gè)（0.1%）文件被認(rèn)為是可疑文件。

此外，還利用執(zhí)行、壓縮、PE 資源與 PCAP 等構(gòu)建文件之間的關(guān)系，這樣找到可疑的父文件。如下所示，為合法 Telegram 安裝程序的父文件。

攻擊者經(jīng)常將惡意軟件與常見的合法軟件建立關(guān)聯(lián)，如 Google Chrome、Malwarebytes、Windows Update、Zoom、Brave、Firefox、ProtonVPN 和 Telegram 等，構(gòu)建一體的安裝程序。共發(fā)現(xiàn)了 1816 個(gè)此類樣本，變動(dòng)時(shí)間線如下所示：

分發(fā)此類樣本域名中甚至還包括?些合法域名，如下所示：

針對(duì)將合法安裝程序與惡意樣本一起放在壓縮文件中的情況，一共發(fā)現(xiàn)了通過 180 個(gè)域名分發(fā)的 2218 個(gè)樣本。如下所示，包含合法 ProtonVPN 安裝程序的壓縮包內(nèi)還包含 Jigsaw 勒索軟件。

攻擊者也會(huì)將合法安裝程序作為 PE 文件的資源嵌入惡意樣本中。共發(fā)現(xiàn)了 452 個(gè)此類樣本，其中使用了包括 Zoom、Spotify、Winzip、7-zip 和 NordVPN 等合法安裝程序。

總結(jié)

VirusTotal 總結(jié)了四種在惡意軟件中常見的信任濫用方式，這也確實(shí)反映了當(dāng)今的技術(shù)演變趨勢(shì)。當(dāng)積累與沉淀了海量的數(shù)據(jù)后，事實(shí)上就可以從多個(gè)角度來對(duì)數(shù)據(jù)進(jìn)行分析與總結(jié)，獲得更好的可見性。

---

微信搜索 “THREAT_PRISM” 可查看同名公眾號(hào) “威脅棱鏡”，分享關(guān)于威脅狩獵的點(diǎn)滴思考。