VirusTotal 恶意软件滥用信任总结报告

VSole2022-08-08 07:36:43

在过去的 16 年里,VirusTotal 每天要处理来自 232 个国家/地区超过 200 万个⽂件。VirusTotal 利⽤庞大的数据结合社区提供的上下文,提供对威胁演变的理解。

恶意软件会利用用户的信任进行传播,例如通过合法域名分发、伪装成合法软件与使用合法证书等方式。

通过合法域名分发

通过合法服务分发恶意软件,这样可以降低受害者的戒心,也可以避免触发使用恶意域名带来的告警,还能够防止执法机构拆除攻击者搭建的攻击基础设施。

在 Alexa 的 TOP 1000 域名中,共发现了 101 个域名分发了大约 2.5 万个可疑文件(至少被五个反病毒软件检出)。

在 2022 年发现的样本中,分发渠道涉及合法域名的如下所示:

可以发现,使用合法域名传播的可疑样本基本都集中在几个域名中。国内的情况,腾讯、百度和脚本之家都位列前十。

有效证书

在 VirusTotal 的数据中,自 2021 年以来有超过 100 万个带有证书的样文件被认为是可疑样本(超过 15% 的检测引擎将其检测为恶意样本)。但是,并⾮所有样本都带有有效证书,攻击者可能会重复使⽤已撤销或⽆效的证书,而通常受害者并不会检查证书链的有效性。VirusTotal 中的这些样本,有近 13% 在上传时都没有使用有效证书。

带有证书的文件中超过 99% 都是 PE 可执行文件或者 DLL 文件,下图是 VirusTotal 中带有证书的恶意 PE 文件数量变化的曲线,峰值出现在 2022 年 1 月。

80% 的样本被检测引擎标记为 OpenInstall PUA,这些样本都是由 OI Software, Inc 与 OpenInstall, Inc 签名的 WinZip 安装程序。

⼤约 95 万个样本在⾸次提交时带有有效证书。下图显⽰了 TOP 10 的证书颁发机构,超过一半都集中在 Sectigo。

⼤约 1.1% 带有证书的恶意样本在⾸次上传到 VirusTotal 时证书已被撤销。下图显⽰了从 2022 年开始⾸次上传到 VirusTotal 时,使⽤已撤销证书的样本文件数量变化的曲线。

年初的峰值,与使用吊销证书 Skill on Net 的虚假 Adobe Flash Downloader 有关。

攻击者会窃取合法签名证书来部署恶意软件,以下时间线显⽰了使⽤被盗的 Nvidia 证书签名的恶意软件的演变过程,存在两个峰值:


伪装成合法软件

根据图标的相似性,查找伪装成合法软件的恶意样本。选取了 25 个常用软件的图标,下图为此类样本数量变化的曲线。

根据 VirusTotal 的数据,下图显⽰了图标被滥⽤最多的应⽤程序。这些软件是很典型的国外的特征,国内的情况应该是另一番光景。

该类文件的恶意比例存在较大差异,这应该也是攻击者选择模仿什么软件的重要原因之一。

Adobe Acrobat、Skype 和 7zip ⾮常常见,恶意比例非常高,这也是非常需要注意的前三个应⽤程序与图标。

根据网站的 favicon 的相似性进行分析,恶意 URL 模仿合法网站最多的如下所示:

从恶意比例上来看,云服务与即时通信软件都名列前茅。


与合法软件捆绑在一起的恶意软件

攻击者通过将恶意软件打包到安装包中,将恶意软件伪装成合法软件的一部分。当攻击者能够触达官方下载服务器、程序源代码或者证书时,就可以展开供应链攻击。

在 VirusTotal 中检索了与提供软件下载服务的 35 个合法域名相关的样本,从 2020 年至今共有 8 万个文件,其中大约 80 个(0.1%)文件被认为是可疑文件。

此外,还利用执行、压缩、PE 资源与 PCAP 等构建文件之间的关系,这样找到可疑的父文件。如下所示,为合法 Telegram 安装程序的父文件。

攻击者经常将恶意软件与常见的合法软件建立关联,如 Google Chrome、Malwarebytes、Windows Update、Zoom、Brave、Firefox、ProtonVPN 和 Telegram 等,构建一体的安装程序。共发现了 1816 个此类样本,变动时间线如下所示:

分发此类样本域名中甚至还包括⼀些合法域名,如下所示:

针对将合法安装程序与恶意样本一起放在压缩文件中的情况,一共发现了通过 180 个域名分发的 2218 个样本。如下所示,包含合法 ProtonVPN 安装程序的压缩包内还包含 Jigsaw 勒索软件。

攻击者也会将合法安装程序作为 PE 文件的资源嵌入恶意样本中。共发现了 452 个此类样本,其中使用了包括 Zoom、Spotify、Winzip、7-zip 和 NordVPN 等合法安装程序。

总结

VirusTotal 总结了四种在恶意软件中常见的信任滥用方式,这也确实反映了当今的技术演变趋势。当积累与沉淀了海量的数据后,事实上就可以从多个角度来对数据进行分析与总结,获得更好的可见性。

软件域名
本作品采用《CC 协议》,转载必须注明作者和本文链接
Bleeping Computer 网站披露,法国、西班牙和拉脱维亚的警方联合捣毁了一个汽车盗窃团伙,该团伙利用一种欺诈性软件,在不使用物理钥匙的情况下盗窃车辆。自 2022 年 3 月以来,欧洲刑警组织一直在大力支持这一案件、期间不仅进行了大量情报信息分析并向所有受此犯罪影响的国家分享情报,还积极协调法国、拉脱维亚和西班牙国家当局之间的跨境抓捕。
法伦救护车服务公司(Fallon Ambulance Services)是Transformative Healthcare和现已解散的救护车服务公司(Ambulance Service)的子公司,覆盖美国大波士顿地区,遭到勒索软件攻击,导致近百万人受到威胁。
根据Akamai最新发布的DNS数据报告,2022年10%到16%的企业产生过C2流量,指向僵尸网络和恶意软件的命令和控制服务器。QSnatch于2014年首次出现,至今仍保持活跃。根据CISA的公告,截至2020年年中,全球有超过6.2万台受感染的QNAP设备。
2021年7月21日,国际网络安全媒体ThreatPost发布报告称,通过对2021年恶意软件和网络钓鱼攻击使用域名的流量和勒索软件攻击活动发生的时间分析后发现,当恶意流量达到峰值期间,勒索软件攻击也较为频繁,二者可能存在联系。
自发布以来,多个安全社区都开始讨论这些顶级域名所带来的影响,其主要原因是.mov和.zip会被误认为是文件扩展名。比如,邮件中的文案是这样的:一旦用户执行了这个操作,那么它将自动启动具有文件存档模版的 .zip 域名,看起来相当 nice。0x05 结论新推出的顶级域名为攻击者提供了更多网络钓鱼的机会。下面提供一种用于阻止(或隔离)来自 .zip TLD 的电子邮件的 Exchange 传输规则
Sonatype 的研究人员发现了使用仿冒域名的不法分子,强调需要检查该软件包是否真的是您要下载的软件包。
报告称,许多攻击者使用被动扫描,利用 Shodan 等服务或 Nmap 等工具查找托管 Docker 守护程序或 Kubernetes 容器编排平台的服务器,试图使用窃取的凭据或漏洞攻击这些平台。此外,创建和使用容器的开发人员往往不关注安全性。报告指出,一个新的蜜罐在五小时内遭到第一次攻击。2021 年,攻击者的重点似乎将从破坏单个容器转向由 Kubernetes 或 K8s 管理的容器集群。
近日,平阳法院审理了一起非法控制计算机信息系统罪的案件,被告人利用插件让上网的用户被迫跳转到指定私服网页并从中获利。
数字化时代,软件无处不在。软件已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。
VSole
网络安全专家