数字签名≠安全!XtremeRAT正利用大量国内数字签名「合法入侵」
字数 3053 2025-08-30 06:50:11

XtremeRAT利用国内数字签名进行"合法入侵"技术分析与防御指南

一、攻击活动概述

近期安全研究人员发现XtremeRAT远控木马利用多个国内正常数字签名进行伪装,通过"白+黑"技术绕过安全检测。攻击活动中使用的数字签名包括:

  • Chengdu Nuoxin Times Technology Co., Ltd.
  • 海口市勤莱佳科技有限公司
  • 运城市盐湖区风颜商贸有限公司
  • 等共13家公司的合法数字签名

该攻击活动最早可追溯至2025年3月21日,截至分析时仍在持续进行,每天都有新的关联样本产生。

二、历史关联攻击活动

  1. Higaisa APT组织活动

    • 2023年10月:使用Zhiya Yunke (Chengdu) Finance and Tax Service Co., Ltd.数字签名
    • 2024年10月:使用Chengdu Nuoxin Times Technology Co., Ltd.和Zhiya Yunke (Chengdu) Finance and Tax Service Co., Ltd.数字签名

  2. CSDN被挂马事件

    • 2024年12月:攻击活动中存在携带Chengdu Nuoxin Times Technology Co., Ltd.数字签名的恶意样本

三、技术手法详细分析

1. 攻击链流程

  1. 使用带有合法数字签名的.NET样本作为初始载荷
  2. 样本外联下载后续组件: 
    https://videomanagerentry.s3.ap-northeast-1.amazonaws.com/V.txt
https://videomanagerentry.s3.ap-northeast-1.amazonaws.com/LogManager.dll
https://videomanagerentry.s3.ap-northeast-1.amazonaws.com/commonbase.dll
https://videomanagerentry.s3.ap-northeast-1.amazonaws.com/VideoManagerMainModule.dll
https://videomanagerentry.s3.ap-northeast-1.amazonaws.com/VideoManagerEntry.edskv
https://videomanagerentry.s3.ap-northeast-1.amazonaws.com/VideoManagerEntry.txt
  3. 使用"白+黑"技术加载恶意DLL
  4. 解密并内存加载XtremeRAT远控木马

2. 白+黑技术实现

  • 白文件:腾讯视频应用程序(版本11.120.1281.0)

    • 文件:VideoManagerEntry.exe (MD5: 2A364B6A8FD42693B15264E26DC9E6CD)
    • 数字签名:Tencent Technology (Shenzhen) Company Limited

  • 黑DLL

    • LogManager.dll (MD5: 519F7E0828C7EDB921F3F4ED03275B60)
      • 数字签名:海口市勤莱佳科技有限公司
      • 导出函数:ReleaseLogManager
    • commonbase.dll (MD5: E34A0536171CE1EA0D026FB7A1CCA896)
      • 数字签名:海口市勤莱佳科技有限公司
      • 导出函数:IW2tkUqqoIoErrUR3IlsSkUsHtZdoYB

3. 加密与解密机制

加密文件:

  • VideoManagerEntry.edskv (MD5: 44F432C76EBF0B7BA26F37CE9CC70AEA)
  • VideoManagerEntry.txt (MD5: D476FF5557309A1349660FAB8EFC4179) - 包含解密密钥

解密算法:

  1. 密钥生成

    • 读取.txt文件内容
    • 将内容转换为UNICODE编码
    • 使用ASCII字符串长度计算MD5
    • 示例:对.txt内容"FHKA"的处理: 
      import hashlib
text = "FHKA"
unicode_text = text.encode('utf-16le')  # 转换为UNICODE
md5_hash = hashlib.md5(unicode_text[:len(text)]).hexdigest().upper()
# 结果:A8D1ACE89219943A45570628FEE12787
    • 最终密钥:"FHKA" + MD5值 → "FHKAA8D1ACE89219943A45570628FEE12787"

  2. 解密算法

    • 使用RC4算法解密.edskv文件
    • 可通过CyberChef验证: 
      输入:加密的.edskv文件
算法:RC4
密钥:FHKAA8D1ACE89219943A45570628FEE12787

自动化解密脚本示例:

import hashlib
from Crypto.Cipher import ARC4

def decrypt_edskv(txt_file_path, edskv_file_path, output_path):
    # 读取.txt文件内容
    with open(txt_file_path, 'r') as f:
        txt_content = f.read().strip()
    
    # 生成密钥
    unicode_content = txt_content.encode('utf-16le')
    md5_hash = hashlib.md5(unicode_content[:len(txt_content)]).hexdigest().upper()
    rc4_key = txt_content + md5_hash
    
    # 读取加密文件
    with open(edskv_file_path, 'rb') as f:
        encrypted_data = f.read()
    
    # RC4解密
    cipher = ARC4.new(rc4_key.encode())
    decrypted_data = cipher.decrypt(encrypted_data)
    
    # 保存解密结果
    with open(output_path, 'wb') as f:
        f.write(decrypted_data)

# 使用示例
decrypt_edskv('VideoManagerEntry.txt', 'VideoManagerEntry.edskv', 'decrypted_payload.bin')

4. XtremeRAT远控木马分析

样本特征:

  • Delphi语言编译(字符串特征:"Embarcadero Delphi for Win32 compiler version 28.0")
  • 包含特征字符串:"Please, send a email to XtremeCoder ---> newxtremerat@gmail.com"
  • 创建互斥对象:hkuewdbghrgxv

通信机制:

  • 根据ConnectIp注册表项选择C2地址:
    • u.arpuu.com:3158
    • kimhate.com:1516

功能模块:

  • 包含200余个switch case分支,实现多种远控功能:
    • 文件遍历
    • 程序执行
    • 屏幕捕获
    • 键盘记录
    • 等近40种远控行为

四、防御建议

1. 检测与防护措施

  1. 数字签名验证

    • 不单纯依赖数字签名作为可信依据
    • 验证证书链完整性和证书吊销状态
    • 关注异常证书使用情况(如小公司证书签署系统文件)

  2. 行为检测

    • 监控异常DLL加载行为(特别是知名软件加载非预期DLL)
    • 检测内存中解密和执行PE文件的行为
    • 关注RC4算法使用情况(现代软件较少使用)

  3. 网络检测

    • 拦截对可疑域名(如arpuu.com、kimhate.com)的连接
    • 监控异常外联行为(如视频软件连接非视频相关域名)

  4. 文件检测

    • 扫描.edskv扩展名文件
    • 检测同时存在.txt和.edskv文件的组合
    • 监控腾讯视频异常版本(如与官方版本不一致)

2. IOCs(入侵指标)

文件哈希:

  • VideoManagerEntry.exe: 2A364B6A8FD42693B15264E26DC9E6CD
  • LogManager.dll: 519F7E0828C7EDB921F3F4ED03275B60
  • commonbase.dll: E34A0536171CE1EA0D026FB7A1CCA896
  • VideoManagerEntry.edskv: 44F432C76EBF0B7BA26F37CE9CC70AEA

网络IOCs:

  • videomanagerentry.s3.ap-northeast-1.amazonaws.com
  • u.arpuu.com:3158
  • kimhate.com:1516

互斥体:

  • hkuewdbghrgxv

3. 企业防护策略

  1. 实施应用程序白名单
  2. 启用攻击面减少(ASR)规则
  3. 部署EDR解决方案监控内存操作
  4. 定期更新威胁情报并检测相关签名
  5. 对员工进行钓鱼攻击意识培训

五、关联分析

通过VT平台关联分析发现,攻击者使用了大量国内正常数字签名,涉及公司包括:

  1. Chengdu Nuoxin Times Technology Co., Ltd.
  2. GZ.PurestJone Network Technology Co., Ltd.
  3. Harman International Industries, Incorporated
  4. Hena Luxion Network Technology Co., Ltd.
  5. Hoozoou Leeser Smart Technology Co., Ltd.
  6. Klimine Far Year Electronic Commerce Co., Ltd.
  7. Meizhou Fisherman Network Technology Co., Ltd.
  8. PrimeSnap Technologies Network Company
  9. Shanghai Linyao Network Technology Co., Ltd.
  10. Shenzhen Xiangyou Network Technology Co., Ltd.
  11. Ventis Media, Inc.
  12. 海口市勤莱佳科技有限公司
  13. 运城市盐湖区风颜商贸有限公司

建议企业安全团队将这些公司证书加入监控列表,关注其签署的可执行文件。

六、总结

本次攻击活动展示了攻击者如何滥用合法数字签名和"白+黑"技术绕过传统安全防护。防御方需要采取多层防御策略,不单纯依赖数字签名验证,而应结合行为分析、网络监控等多种手段检测此类高级威胁。

XtremeRAT利用国内数字签名进行"合法入侵"技术分析与防御指南 一、攻击活动概述 近期安全研究人员发现XtremeRAT远控木马利用多个国内正常数字签名进行伪装,通过"白+黑"技术绕过安全检测。攻击活动中使用的数字签名包括: Chengdu Nuoxin Times Technology Co., Ltd. 海口市勤莱佳科技有限公司 运城市盐湖区风颜商贸有限公司 等共13家公司的合法数字签名 该攻击活动最早可追溯至2025年3月21日,截至分析时仍在持续进行,每天都有新的关联样本产生。 二、历史关联攻击活动 Higaisa APT组织活动 : 2023年10月:使用Zhiya Yunke (Chengdu) Finance and Tax Service Co., Ltd.数字签名 2024年10月:使用Chengdu Nuoxin Times Technology Co., Ltd.和Zhiya Yunke (Chengdu) Finance and Tax Service Co., Ltd.数字签名 CSDN被挂马事件 : 2024年12月:攻击活动中存在携带Chengdu Nuoxin Times Technology Co., Ltd.数字签名的恶意样本 三、技术手法详细分析 1. 攻击链流程 使用带有合法数字签名的.NET样本作为初始载荷 样本外联下载后续组件: 使用"白+黑"技术加载恶意DLL 解密并内存加载XtremeRAT远控木马 2. 白+黑技术实现 白文件 :腾讯视频应用程序(版本11.120.1281.0) 文件:VideoManagerEntry.exe (MD5: 2A364B6A8FD42693B15264E26DC9E6CD) 数字签名:Tencent Technology (Shenzhen) Company Limited 黑DLL : LogManager.dll (MD5: 519F7E0828C7EDB921F3F4ED03275B60) 数字签名:海口市勤莱佳科技有限公司 导出函数:ReleaseLogManager commonbase.dll (MD5: E34A0536171CE1EA0D026FB7A1CCA896) 数字签名:海口市勤莱佳科技有限公司 导出函数:IW2tkUqqoIoErrUR3IlsSkUsHtZdoYB 3. 加密与解密机制 加密文件: VideoManagerEntry.edskv (MD5: 44F432C76EBF0B7BA26F37CE9CC70AEA) VideoManagerEntry.txt (MD5: D476FF5557309A1349660FAB8EFC4179) - 包含解密密钥 解密算法: 密钥生成 : 读取.txt文件内容 将内容转换为UNICODE编码 使用ASCII字符串长度计算MD5 示例:对.txt内容"FHKA"的处理: 最终密钥:"FHKA" + MD5值 → "FHKAA8D1ACE89219943A45570628FEE12787" 解密算法 : 使用RC4算法解密.edskv文件 可通过CyberChef验证: 自动化解密脚本示例: 4. XtremeRAT远控木马分析 样本特征: Delphi语言编译(字符串特征:"Embarcadero Delphi for Win32 compiler version 28.0") 包含特征字符串:"Please, send a email to XtremeCoder ---> newxtremerat@gmail.com" 创建互斥对象:hkuewdbghrgxv 通信机制: 根据ConnectIp注册表项选择C2地址: u.arpuu.com:3158 kimhate.com:1516 功能模块: 包含200余个switch case分支,实现多种远控功能: 文件遍历 程序执行 屏幕捕获 键盘记录 等近40种远控行为 四、防御建议 1. 检测与防护措施 数字签名验证 : 不单纯依赖数字签名作为可信依据 验证证书链完整性和证书吊销状态 关注异常证书使用情况(如小公司证书签署系统文件) 行为检测 : 监控异常DLL加载行为(特别是知名软件加载非预期DLL) 检测内存中解密和执行PE文件的行为 关注RC4算法使用情况(现代软件较少使用) 网络检测 : 拦截对可疑域名(如arpuu.com、kimhate.com)的连接 监控异常外联行为(如视频软件连接非视频相关域名) 文件检测 : 扫描.edskv扩展名文件 检测同时存在.txt和.edskv文件的组合 监控腾讯视频异常版本(如与官方版本不一致) 2. IOCs(入侵指标) 文件哈希: VideoManagerEntry.exe: 2A364B6A8FD42693B15264E26DC9E6CD LogManager.dll: 519F7E0828C7EDB921F3F4ED03275B60 commonbase.dll: E34A0536171CE1EA0D026FB7A1CCA896 VideoManagerEntry.edskv: 44F432C76EBF0B7BA26F37CE9CC70AEA 网络IOCs: videomanagerentry.s3.ap-northeast-1.amazonaws.com u.arpuu.com:3158 kimhate.com:1516 互斥体: hkuewdbghrgxv 3. 企业防护策略 实施应用程序白名单 启用攻击面减少(ASR)规则 部署EDR解决方案监控内存操作 定期更新威胁情报并检测相关签名 对员工进行钓鱼攻击意识培训 五、关联分析 通过VT平台关联分析发现,攻击者使用了大量国内正常数字签名,涉及公司包括: Chengdu Nuoxin Times Technology Co., Ltd. GZ.PurestJone Network Technology Co., Ltd. Harman International Industries, Incorporated Hena Luxion Network Technology Co., Ltd. Hoozoou Leeser Smart Technology Co., Ltd. Klimine Far Year Electronic Commerce Co., Ltd. Meizhou Fisherman Network Technology Co., Ltd. PrimeSnap Technologies Network Company Shanghai Linyao Network Technology Co., Ltd. Shenzhen Xiangyou Network Technology Co., Ltd. Ventis Media, Inc. 海口市勤莱佳科技有限公司 运城市盐湖区风颜商贸有限公司 建议企业安全团队将这些公司证书加入监控列表,关注其签署的可执行文件。 六、总结 本次攻击活动展示了攻击者如何滥用合法数字签名和"白+黑"技术绕过传统安全防护。防御方需要采取多层防御策略,不单纯依赖数字签名验证,而应结合行为分析、网络监控等多种手段检测此类高级威胁。