Gamaredon向带有有效签名的PE中嵌入脚本

    Gamaredon是具有俄罗斯背景的APT组织，其攻击活动一直以来十分活跃，且一直保持着高频的攻击武器及攻击手法的更新迭代。近期，360高级威胁研究院在持续跟踪Gamaredon组织的相关活动时，发现该组织利用修改PE文件的方式向带有合法签名的PE文件中嵌入恶意脚本。

合法数字证书中的Payload

PE文件的数字签名用于验证该文件的完整性，通常情况下，如果一个PE文件带有有效的数字签名，且该数字证书的所有者为谷歌、微软这样的企业，则一般认为该文件是安全的、未经篡改的。这一点可以通过右键查看PE文件属性面板中的数字签名项来验证。

但是事情总有例外，在BlackHat2016的议题《Certificate Bypass: Hiding and Executing Malware from a Digitally Signed Executable》中就介绍了通过篡改PE文件结构来向数字证书末端添加信息的方式，如此一来，一个PE的文件的数字签名虽然校验结果为有效，但其中依旧可能隐藏有其他信息。

在对PE文件进行数字签名校验时，有3个位置不会参与hash的计算：

• PE头中Optional Header的CheckSum

• 保存有Certificate Table偏移和大小信息的Certificate Table entry

• Certificate Table

由此可见，只要修改了Certificate Table的大小和CheckSum，攻击者就可以向PE文件的Certificate Table末尾添加任意大小的数据，且PE文件的数字证书依旧验证有效。

在本次捕获的样本中，攻击者就采用了上述手法向Chrome.exe的文件尾添加了恶意脚本，并保持数字签名的有效性：

    经过与同版本未经篡改的Chrome.exe对比，可以看到修改的位置如下：

    1.Optional Header的 CheckSum值：

    2.Certificate Table entry中的数字证书大小：

    3.Certificate Table中的数字证书大小：

    4.文件尾部添加的新数据：

其中可以看到vbs脚本代码。

Gamaredon的利用方式

在BlackHat2016相关内容的议题中，实现了一个Reflective PE Loader来执行嵌入的payload，这种方式较为复杂，需要对嵌入的payload PE进行大量准备工作。在本次发现的Gamaredon相关活动中，则采用mshta来执行嵌入数字证书的vbs代码。

mshta可以用于执行hta(html应用程序)，常常被各类黑客组织所利用。本次活动中，Gamaredon将vbs代码包裹在html标签中，放置在文件尾部。Html标签之前的内容都会被解析为普通的文本，而标签之后的部分会作为html代码执行。

本次被执行的脚本为该组织一直沿用的vbs downloader，主要功能为下载远程文件到本地的 %PUBLIC%DownloadsMusik.ini 目录下，并创建计划任务维持控制。

(为方便查看，下图中部分字符串做了去混淆的处理)

总结

    虽然向数字证书中嵌入payload的手法早已被披露，但是该组织利用此种手法执行vbs还是第一次见，Gamaredon作为东欧较为活跃的APT组织，其攻击武器和攻击手段也一直保持着更新，我们会在接下来的时间里持续关注该组织的相关活动，这里也提醒大家时刻保持警惕，即使PE文件拥有数字签名也不是百分之百的安全。

附录 IOC

MD5

914aa3b3fb313198c1b2c06863f32c70

URL

http://83.166.240.208/revers.php?id=[RandomID]

http://83.166.246.118/revers.php?id=[RandomID]

http://83.166.244.143/revers.php?id=[RandomID]

http://83.166.240.22/revers.php?id=[RandomID]

http://83.166.243.193/revers.php?id=[RandomID]

http://188.225.47.161/revers.php?id=[RandomID]

http://188.225.82.67/revers.php?id=[RandomID]

http://188.225.84.243/revers.php?id=[RandomID]

http://94.228.113.110/revers.php?id=[RandomID]

http://188.225.18.201/revers.php?id=[RandomID]

http://46.229.215.89/revers.php?id=[RandomID]

http://185.104.113.229/revers.php?id=[RandomID]

http://78.40.217.92/revers.php?id=[RandomID]

http://193.164.150.160/revers.php?id=[RandomID]

http://5.23.53.23/revers.php?id=[RandomID]

http://188.225.45.163/revers.php?id=[RandomID]

http://217.25.88.153/revers.php?id=[RandomID]

http://188.225.11.233/revers.php?id=[RandomID]

http://217.25.88.158/revers.php?id=[RandomID]

http://188.225.75.69/revers.php?id=[RandomID]

http://92.53.124.232/revers.php?id=[RandomID]

http://188.225.43.143/revers.php?id=[RandomID]

http://92.53.104.167/revers.php?id=[RandomID]

http://94.228.112.223/revers.php?id=[RandomID]

http://188.225.27.161/revers.php?id=[RandomID]

Domain

lighin.ru

团队介绍

TEAM INTRODUCTION

360高级威胁研究院

360高级威胁研究院是360政企安全集团的核心能力支持部门，由360资深安全专家组成，专注于高级威胁的发现、防御、处置和研究，曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击，独家披露多个国家级APT组织的高级行动，赢得业内外的广泛认可，为360保障国家网络安全提供有力支撑。

本文始发于微信公众号（360威胁情报中心）：Gamaredon向带有有效签名的PE中嵌入脚本