當(dāng)前位置:首頁(yè) >  IDC >  安全 >  正文

被破壞的代碼簽名證書(shū)能夠幫助攻擊者傳播惡意軟件

 2018-03-02 17:30  來(lái)源: A5企業(yè)專(zhuān)欄   我來(lái)投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)

被破壞的代碼簽名證書(shū)讓黑客能夠偽造數(shù)字簽名和欺騙瀏覽器。

黑客正在使用被破壞的代碼簽名證書(shū)來(lái)對(duì)惡意軟件進(jìn)行簽名。這反過(guò)來(lái)能夠欺騙反病毒程序,讓它們認(rèn)為惡意軟件來(lái)自一個(gè)可靠來(lái)源。反病毒程序并沒(méi)有將軟件標(biāo)記為不可信或惡意,然后一個(gè)用戶(hù)下載了它,突然,他的電腦就被感染了。

這是一個(gè)出色的游戲,但也是一個(gè)危險(xiǎn)的游戲。

什么是代碼簽名證書(shū)?

代碼簽名證書(shū)是一個(gè)數(shù)字證書(shū),能夠讓個(gè)人開(kāi)發(fā)者或企業(yè)對(duì)一個(gè)腳本或可執(zhí)行文件進(jìn)行數(shù)字簽名。數(shù)字簽名有兩個(gè)目的。首先,它允許終端用戶(hù)驗(yàn)證發(fā)布者的身份。其次,它允許終端用戶(hù)驗(yàn)證軟件是他們想要的,并沒(méi)有被篡改。

諸如谷歌安全瀏覽和微軟SmartScreen等的網(wǎng)絡(luò)過(guò)濾器,以及反病毒程序都要求對(duì)軟件進(jìn)行簽名,否則他們就會(huì)把下載的東西標(biāo)記為不可信和存在潛在安全隱患。這一警告足以使大多數(shù)終端用戶(hù)望而卻步。

代碼簽名證書(shū)遭到破壞時(shí),會(huì)發(fā)生什么情況?

代碼簽名證書(shū)遭到破壞時(shí),就可以用來(lái)它來(lái)對(duì)惡意軟件和愚蠢的反病毒程序等的惡意軟件進(jìn)行簽名。因?yàn)槭苄湃蔚陌l(fā)行者擁有一個(gè)數(shù)字簽名,所以程序認(rèn)為軟件肯定也是可靠的。因此,系統(tǒng)就不會(huì)發(fā)出警告,終端用戶(hù)就會(huì)下載惡意軟件。

分析了賽門(mén)鐵克在全球1100萬(wàn)臺(tái)主機(jī)上收集到的現(xiàn)場(chǎng)數(shù)據(jù)后,馬里蘭大學(xué)的安全研究人員發(fā)現(xiàn)有72個(gè)證書(shū)遭到了破壞。其中一個(gè)研究人員告訴El Reg :“這些例子中的大多數(shù)之前都并不為人所知,并且在受到這72個(gè)證書(shū)背書(shū)的惡意軟件樣本中,有三分之二仍舊有效,簽名審查也并沒(méi)有產(chǎn)生任何錯(cuò)誤。在Stuxnet之前,證書(shū)遭到破壞似乎已經(jīng)十分普遍,并且并不局限于民族國(guó)家開(kāi)發(fā)的高級(jí)威脅。我們也發(fā)現(xiàn)有27個(gè)證書(shū)頒發(fā)給了偽裝成合法公司的惡意分子,他們不開(kāi)發(fā)軟件,也不需要代碼簽名證書(shū),如向一個(gè)韓國(guó)客戶(hù)交付服務(wù)。這一漏洞對(duì)34個(gè)反病毒產(chǎn)品造成了不同程度的影響,同時(shí)利用這一漏洞的惡意軟件樣本也普遍存在。”

在一些案例中,惡意軟件制作者甚至都不需要擁有一個(gè)代碼簽名證書(shū)。他們只需要復(fù)制一個(gè)數(shù)字簽名(或代碼驗(yàn)證簽名)到軟件中,這樣就足以創(chuàng)建一個(gè)無(wú)效的簽名,從而達(dá)到欺騙反病毒程序的目的。

網(wǎng)絡(luò)安全研究院和Venafi近來(lái)的一項(xiàng)研究發(fā)現(xiàn),代碼簽名證書(shū)在暗網(wǎng)上的售價(jià)大約為1200美元。

Venafi首席安全分析師表示:“我們的研究表明,代碼簽名證書(shū)對(duì)于網(wǎng)絡(luò)犯罪分子來(lái)說(shuō)是十分有利可圖的目標(biāo)。利用竊取的代碼簽名證書(shū),企業(yè)要想檢測(cè)惡意軟件幾乎是不可能的。此外,在代碼簽名證書(shū)的價(jià)值開(kāi)始降低以前,它們可以被多次出售,這從而使得黑客和暗網(wǎng)商人可以賺取大量金錢(qián)。所有這些都刺激了對(duì)被盜代碼簽名證書(shū)的需求。”

為了解決這一問(wèn)題,可以采取何種措施?

這一問(wèn)題需要從多個(gè)層次上進(jìn)行處理。首先,CA需要加強(qiáng)驗(yàn)證審查,以避免向并沒(méi)有開(kāi)發(fā)軟件的實(shí)體頒發(fā)代碼簽名證書(shū)。一個(gè)可靠的CA應(yīng)當(dāng)能夠快速辨別出申請(qǐng)證書(shū)的公司是否可疑,而他們申請(qǐng)?jiān)撟C書(shū)是為了交付服務(wù),如向一個(gè)韓國(guó)人提供服務(wù)——就像前面給出的例子一樣。

此外,反程序公司也需要加強(qiáng)安全防范。特別地,一個(gè)無(wú)效的簽名應(yīng)當(dāng)被認(rèn)為是沒(méi)有簽名。濫用的簽名足以騙取程序信任,在用戶(hù)下載前不發(fā)出警告,這一點(diǎn)是十分可怕的。

最后,對(duì)于其證書(shū)已經(jīng)遭到破壞的公司來(lái)說(shuō),大多數(shù)案例都可以歸結(jié)于對(duì)密鑰的更好的管理。如果你丟失了那個(gè)密鑰,你的證書(shū)就一文不值了。一個(gè)解決辦法是將密鑰存儲(chǔ)在物理硬件令牌上,而不是網(wǎng)絡(luò)上。這使得竊取密鑰變得更加困難,因?yàn)樗仨殢膶?shí)地拿取。在這種情況下,這是一個(gè)巨大優(yōu)勢(shì)?;蛘呤?,你也可以購(gòu)買(mǎi)一個(gè)擴(kuò)展驗(yàn)證(EV)代碼簽名證書(shū)。EV代碼簽名證書(shū)能夠代表頒發(fā)機(jī)構(gòu)CA進(jìn)行更廣泛的審查,并且它的密鑰也是存儲(chǔ)在物理硬件令牌上的。

關(guān)于更多代碼簽名證書(shū)服務(wù),請(qǐng)參見(jiàn)https://www.bisend.cn/code-signing-ssl-certificate

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
攻擊者

相關(guān)文章

熱門(mén)排行

信息推薦