【赛迪网-IT技术报道】通常,商业软件发行时,为向用户证明该程序未经篡改,会在发布版本时使用数字签名。如下图:
图1 正常文件的数字签名
通常,当一个EXE被破坏(如病毒感染或被捆绑木马),数字签名信息会丢失,从文件属性中看会发现原来数字签名标签页缺失。
但现在发现部分木马传播者采取了更巧妙的方式,一般粗略查看文件属性时,会发现该EXE文件的数字签名看上去没有异常。如下图:
图2 病毒感染后的EXE文件也能看到数字签名
如果不小心,就会认为这个EXE完全正常,但是这个文件已经被捆绑了多个木马。在沙箱(sandboxie)中运行这个EXE,会发现该程序向windows\system32目录写入了4个dll文件,毒霸也会报告发现病毒。
图3 沙箱中可以看到执行该程序后病毒生成的DLL文件
图4 沙箱中执行病毒EXE时,毒霸会报告发现病毒
那我们该如何区分此类攻击呢?有两个方法:
1.查看数字签名的详细信息,在图1或图2中,我们应该查看该数字签名的详细信息,点击“详细信息”按钮即可。
我们会发现正常EXE和感染(或捆绑木马)后的EXE数字签名的区别:
图5 正常EXE的数字签名详细信息
图6 被篡改后的EXE数字签名信息无效
2.使用数字签名验证程序sigcheck.exe (可以百度一下找这个工具,著名系统工具包Sysinternals Suite的组件之一,可以访问http://technet.microsoft.com/zh-cn/sysinternals/0e18b180-9b7a-4c49-8120-c47c5a693683(en-us).aspx下载。)
数字签名异常的结果为:
C:\Documents and Settings\litiejun\??\modify.exe:
Verified: Unsigned
File date: 15:46 2008-5-23
Publisher: n/a
Description: n/a
Product: n/a
Version: n/a
File version: n/a
|
数字签名正常的结果为:
C:\Documents and Settings\litiejun\??\che.exe:
Verified: Signed
Signing date: 16:28 2008-4-29
Publisher: n/a
Description: n/a
Product: n/a
Version: n/a
File version: n/a
|
原因分析:
1,精心设计的感染
当EXE被感染时,是很容易破坏文件的数字签名信息的,如果攻击者感染或破坏文件时,有意不去破坏EXE中有关数字签名的部分,就可能出现感染后,数字签名看上去正常的情况。但认真查看文件属性或校验文件的HASH值,你会发现该EXE程序已经不是最原始的版本了。
2.该软件发行商的数字签名文件被盗,攻击者可以把捆绑木马或感染病毒后的EXE程序,也打包上数字签名,这种情况下就更严重了。企业如果申请了数字签名证书,一定要妥善保管,否则后患无穷。
推荐尝试使用金山毒霸在线安全诊断技术,使用其会联机分析相关程序的数字签名,不会被假冒或通不过校验看起来正常的数字签名欺骗,会给用户返回正确的诊断结果。
(责任编辑:李磊)
