VirusTotal 惡意軟件濫用信任總結報告

在過去的 16 年里，VirusTotal 每天要處理來自 232 個國家/地區超過 200 萬個?件。VirusTotal 利?龐大的數據結合社區提供的上下文，提供對威脅演變的理解。

惡意軟件會利用用戶的信任進行傳播，例如通過合法域名分發、偽裝成合法軟件與使用合法證書等方式。

通過合法域名分發

通過合法服務分發惡意軟件，這樣可以降低受害者的戒心，也可以避免觸發使用惡意域名帶來的告警，還能夠防止執法機構拆除攻擊者搭建的攻擊基礎設施。

在 Alexa 的 TOP 1000 域名中，共發現了 101 個域名分發了大約 2.5 萬個可疑文件（至少被五個反病毒軟件檢出）。

在 2022 年發現的樣本中，分發渠道涉及合法域名的如下所示：

可以發現，使用合法域名傳播的可疑樣本基本都集中在幾個域名中。國內的情況，騰訊、百度和腳本之家都位列前十。

有效證書

在 VirusTotal 的數據中，自 2021 年以來有超過 100 萬個帶有證書的樣文件被認為是可疑樣本（超過 15% 的檢測引擎將其檢測為惡意樣本）。但是，并?所有樣本都帶有有效證書，攻擊者可能會重復使?已撤銷或?效的證書，而通常受害者并不會檢查證書鏈的有效性。VirusTotal 中的這些樣本，有近 13% 在上傳時都沒有使用有效證書。

帶有證書的文件中超過 99% 都是 PE 可執行文件或者 DLL 文件，下圖是 VirusTotal 中帶有證書的惡意 PE 文件數量變化的曲線，峰值出現在 2022 年 1 月。

80% 的樣本被檢測引擎標記為 OpenInstall PUA，這些樣本都是由 OI Software, Inc 與 OpenInstall, Inc 簽名的 WinZip 安裝程序。

?約 95 萬個樣本在?次提交時帶有有效證書。下圖顯?了 TOP 10 的證書頒發機構，超過一半都集中在 Sectigo。

?約 1.1% 帶有證書的惡意樣本在?次上傳到 VirusTotal 時證書已被撤銷。下圖顯?了從 2022 年開始?次上傳到 VirusTotal 時，使?已撤銷證書的樣本文件數量變化的曲線。

年初的峰值，與使用吊銷證書 Skill on Net 的虛假 Adobe Flash Downloader 有關。

攻擊者會竊取合法簽名證書來部署惡意軟件，以下時間線顯?了使?被盜的 Nvidia 證書簽名的惡意軟件的演變過程，存在兩個峰值：

偽裝成合法軟件

根據圖標的相似性，查找偽裝成合法軟件的惡意樣本。選取了 25 個常用軟件的圖標，下圖為此類樣本數量變化的曲線。

根據 VirusTotal 的數據，下圖顯?了圖標被濫?最多的應?程序。這些軟件是很典型的國外的特征，國內的情況應該是另一番光景。

該類文件的惡意比例存在較大差異，這應該也是攻擊者選擇模仿什么軟件的重要原因之一。

Adobe Acrobat、Skype 和 7zip ?常常見，惡意比例非常高，這也是非常需要注意的前三個應?程序與圖標。

根據網站的 favicon 的相似性進行分析，惡意 URL 模仿合法網站最多的如下所示：

從惡意比例上來看，云服務與即時通信軟件都名列前茅。

與合法軟件捆綁在一起的惡意軟件

攻擊者通過將惡意軟件打包到安裝包中，將惡意軟件偽裝成合法軟件的一部分。當攻擊者能夠觸達官方下載服務器、程序源代碼或者證書時，就可以展開供應鏈攻擊。

在 VirusTotal 中檢索了與提供軟件下載服務的 35 個合法域名相關的樣本，從 2020 年至今共有 8 萬個文件，其中大約 80 個（0.1%）文件被認為是可疑文件。

此外，還利用執行、壓縮、PE 資源與 PCAP 等構建文件之間的關系，這樣找到可疑的父文件。如下所示，為合法 Telegram 安裝程序的父文件。

攻擊者經常將惡意軟件與常見的合法軟件建立關聯，如 Google Chrome、Malwarebytes、Windows Update、Zoom、Brave、Firefox、ProtonVPN 和 Telegram 等，構建一體的安裝程序。共發現了 1816 個此類樣本，變動時間線如下所示：

分發此類樣本域名中甚至還包括?些合法域名，如下所示：

針對將合法安裝程序與惡意樣本一起放在壓縮文件中的情況，一共發現了通過 180 個域名分發的 2218 個樣本。如下所示，包含合法 ProtonVPN 安裝程序的壓縮包內還包含 Jigsaw 勒索軟件。

攻擊者也會將合法安裝程序作為 PE 文件的資源嵌入惡意樣本中。共發現了 452 個此類樣本，其中使用了包括 Zoom、Spotify、Winzip、7-zip 和 NordVPN 等合法安裝程序。

總結

VirusTotal 總結了四種在惡意軟件中常見的信任濫用方式，這也確實反映了當今的技術演變趨勢。當積累與沉淀了海量的數據后，事實上就可以從多個角度來對數據進行分析與總結，獲得更好的可見性。