代码签名证书买卖黑市的真实情况是怎样的?

阅读量158954

|评论1

发布时间 : 2018-02-23 15:00:45

x
译文声明

本文是翻译文章,文章原作者 Catalin Cimpanu,文章来源:www.bleepingcomputer.com

原文地址:https://www.bleepingcomputer.com/news/security/the-market-of-stolen-code-signing-certificates-is-too-expensive-for-most-hackers/

译文仅供参考,具体内容表达以及含义原文为准。

 

虽然买卖代码签名证书供恶意软件通过安全扫描器的地下黑市繁荣发展,但 Recorded Future 发布的一项研究显示,此类证书的价格太高,仅有少数黑客能负担得起。

众所周知,最难被检测到的恶意软件是经著名企业颁发的证书签署的恶意软件。但长期以来,人们认为而且也有理由这么认为:黑客从合法企业或合作伙伴或证书颁发机构本身窃取此类证书。

 

黑客获得多数证书靠欺诈而非黑客技术

研究公布了一个不同于多数安全专家观点的结果。Recorded Future 公司的高阶收集主管 Andrei Barysevich 指出,多数被非法获得的证书是由欺诈而非入侵证书颁发机构网络实现的。

Barysevich 表示,“一般认为流通在地下黑市上的安全证书是从合法所有人那里盗取的。然而,分析显示事实并非如此。我们很确定地证实,伪造证书是黑客为特定买家、按照每个具体要求、仅且通过被盗企业身份进行注册获得的。”

 

如何订购代码签名证书

Barysevich 在报告中指出,犯罪分子通过网店出售证书。买家下订单后,店主从证书颁发机构为虚假 app 或网站获得所需证书。为获得证书,店主使用了合法企业及其员工的被盗身份。

Barysevich 表示,“我们认为合法的企业所有人完全不知道自己的数据曾被用于或者正被用于这些非法活动中。”

研究还显示,犯罪分子经常能成功地从热门的证书颁发机构如 Comodo、Thawte和赛门铁克获得合法的代码签名证书。

获得证书后,卖家将证书交给买家,后者由此加密 HTTPS 流量或签名应用,从而让它们看似来自合法可信来源。

 

代码签名证书网店早在2015年就已存在

首批出售证书的网店出现在2015年。Recorded Future 公司在具体的地下黑客论坛上发现了四家出售证书的组织/个人。虽然其中两家店已不存在,但其它两家还在继续在俄语论坛上出售代码签名证书。

此类代码签名证书的价格范围是299美元至1799美元不等,其中包括证书所能获得的信任级别最高的EV(扩展验证)证书。

然而,虽然这类反病毒逃避工具的市场正在崛起,但在恶意软件开发人员之间并未得到广泛传播。

Barysevich 认为,证书的价格把多数恶意软件作者挡在了门外。因为其它反病毒逃避工具如加密器等仍然能有效发挥作用,而且价格低得多。

Barysevich 指出,“虽然我们并不认为伪造证书会得到大规模使用,但我们认为具有明确目标的复杂攻击者仍将继续在攻击行动中使用虚假的代码签名和 SSL 证书。”那些对隐秘性的要求超过效果要求的威胁者们将继续依靠证书发动攻击,他们并不在乎证书价格的高低。

本文翻译自www.bleepingcomputer.com 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
奇安信代码卫士
分享到:微信

发表评论

奇安信代码卫士

奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。微信公号:codesafe。

  • 文章
  • 387
  • 粉丝
  • 104

热门推荐

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66