恶意软件团伙盗取大量证书用来绕过代码签名检查

阅读量140162

|

发布时间 : 2016-03-18 12:27:59

x
译文声明

本文是翻译文章,文章来源:360安全播报

原文地址:http://arstechnica.com/security/2016/03/to-bypass-code-signing-checks-malware-gang-steals-lots-of-certificates/

译文仅供参考,具体内容表达以及含义原文为准。

https://p2.ssl.qhimg.com/t0164c929e16c29a348.jpg

        成功地实施高级黑客攻击有很多方法,对于Suckfly团伙来说,他们的攻击成功的关键技术就是他们盗取的大量证书,通过使用这些证书给自己的恶意代码进行签名,可以使之可以绕过杀软的查杀。

        据安全公司赛门铁克在周二发表的一篇博文中提到,自2014年以来,该团伙至少使用了九种从九个不同的公司盗取的签名证书为自己的黑客软件签名,赛门铁克安全研究员与该团伙的第一次交手发生在去年,当时他们捕捉到一个服务器暴力破解扫描器,该软件的签名信息本属于韩国一名手机软件开发者。当研究员们搜索使用过该证书签名的其他可执行文件时,他们最终找到这个黑帽黑客团伙开发的其他三个使用更广泛的工具。

        通过IP定位追踪,赛门铁克发现该团伙的IP位于中国成都,并最终找到其他大量的通用后门程序与黑客工具,这些工具的签名证书来源九个不同公司。奇妙的是,这九个受害公司均位于首尔,彼此相隔只有几英里远。虽然地理位置的相似度很可疑,但是赛门铁克研究员猜测此次证书盗窃并非是物理攻击,而更像是这些公司感染了具有搜索并窃取签名证书的能力的恶意软件。

        高级的恶意软件使用盗取的证书进行签名,这样的事情已经不是第一次发生了。六年前,扰乱伊朗核设施的震网病毒便是使用台湾一家公司的合法证书进行的签名,2013年,一个名为Wintti的恶意软件攻击了30多家在线游戏公司,它也使用了盗取的证书,同年曝光的APT团伙Hidden Lynx也是如此。2014年也有一个例子,APT团伙黑藤组织使用同样的手段攻陷了医疗保险公司Anthem。甚至有时候,会有软件开发者疏忽大意地会将自己的签名密钥公布到网上,例如在九月份,调制解调器制作商D-link公司的证书泄露事件

        证书盗窃攻击的出现,是随着操作系统逐渐要求安装的APP具有代码签名而来的。

        “在本次调查以及我们讨论的其他攻击行为中可以发现,使用代码签名证书对恶意软件进行签名变得越来越常见。”赛门铁克研究员Jon DiMaggio在周二的博文中写道,“攻击者将大量精力投入到证书盗窃中,因为只有这样才可以让恶意软件在目标计算机中立足。随着网络与安全系统逐渐采用信任与信誉模型,不受信且未签名的软件是不允许安装的,因此,使用签名工具对恶意代码进行签名就变得更加常见了”。

        数字签名证书使得Suckfly组织可以成功实施攻击,还能避免自身被关注。例如,该团伙的一个网页可以利用IE浏览器2014年的一个对象链接与嵌入漏洞从而实施攻击,而漏洞利用中使用的文件是一个自解压的可执行文件,最终将释放并安装恶意软件到目标机上,赛门铁克将该恶意软件命名为Nidiran 。

        “我们的调查工作让这些代码签名证书的未授权使用得见天日,而在此之前,证书的拥有者完全不知道自己的证书被非法使用过的,”DiMaggio总结道,“我们的研究工作的意义在于,提醒证书拥有者,他们需要谨慎关注自己的证书,避免落入错误的人手中,同时,需要对证书信息做应有的保护,在一定程序上防止它们被恶意使用”。

本文翻译自360安全播报 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
Elph
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66