某工業畫圖軟體遭遇供應鏈攻擊，官方數字簽名元件存在病毒

摘要： 騰訊安全御見威脅情報中心檢測到，有多個“CAXA數碼大方”元件在被ramnit家族感染型病毒感染之後簽署上官方有效的數字簽名。從我們截獲的樣本中來看，被感染的CaxaWeb.exe與DrawLib.dll檔名可能屬於該公司圖表類軟體模組。 某個被感染元件的節區表，如下圖所示： ...

騰訊安全御見威脅情報中心檢測到，有多個“CAXA數碼大方”元件在被ramnit家族感染型病毒感染之後簽署上官方有效的數字簽名。從我們截獲的樣本中來看，被感染的CaxaWeb.exe與DrawLib.dll檔名可能屬於該公司圖表類軟體模組。

某個被感染元件的節區表，如下圖所示：

被感染的節區表

該元件具有正常的數字簽名信息以及與官方包釋出的一致的證書指紋，如下圖所示：

客戶端數字簽名信息

ramnit家族感染型病毒最早是在2010年4月被發現的，通過感染dll、exe、html、htm格式的檔案進而實現常駐系統，其主要目的是用於竊取使用者資訊。從我們截獲的樣本中來看，樣本被感染的ramnit病毒在2016年就已經被發現，但是由於被感染的元件均具有有效數字簽名，因此可能會被某些殺軟信任放過。

針對軟體供應鏈環節的病毒攻擊越來越值得關注，一部分軟體在官方發行渠道上線時，由於開發環境感染病毒，從而導致對外發行的版本內建病毒。這會對使用者構成極大威脅——使用者會天然相信商業公司發行的軟體是正常的，往往會忽略安全軟體的警告，騰訊電腦管家可成功清除該病毒。

電腦管家查殺截圖

IOCs:

MD5

9c04b8554775a2a91de04bce70366245

beb087f7f6feacb30bead9dbdc266822

384282d6ce9bc8e8a39a8c6467a3c660

5c8ab43eaca5a5f70f00b36b5b960bef

宣告：本文來自騰訊御見威脅情報中心，版權歸作者所有。文章內容僅代表作者獨立觀點，不代表安全內參立場，轉載目的在於傳遞更多資訊。如有侵權，請聯絡 [email protected]。