伪造证书会成为新一轮的安全威胁吗？

概述

1. 我们最早在2011年就发现有攻击者使用窃取来的代码签名证书，但是直到2015年，代码签名证书才在地下网络犯罪市场中流行起来。
2. 从2011年起，Insikt Group总共发现了四个提供代码签名证书的著名组织，但其中只有两家厂商目前正在给俄罗斯黑客提供服务。
3. 目前最常见最实惠的代码签名证书版本售价为299美金，但综合性最强的并且带有公司信誉评级的扩展验证型服务器(EV)证书标价为1599美金。除此之外，带有EV SSL证书的域名注册起始价格为349美金。
4. 所有的这些代码签名证书都是由信誉评级良好的公司办法的，例如Comodo、Thawte和赛门铁克等等，而这些证书可以有效地帮助恶意软件绕过安全产品的检测。我们认为，合法公司的管理人员并没有意识到他们自己的数据已经被用于网络犯罪活动之中了。
5. 当恶意软件或植入后门开始使用合法的SSL/TLS流量（即合法证书）时，通过深入分析数据包流量来实现安全检查的网络安全设备将会变得没那么有效，但是针对数据包Header的分析是降低这种风险的有效控制方式。

写在前面的话

在2017年全世界的安全研究人员突然发现，有越来越多的网络犯罪分子开始用代码签名证书来作为一种混淆技术，并在自己的恶意Payload传播活动中利用这种方式来实现恶意软件的感染。根据Insikt Group的调查数据显示，地下网络犯罪市场以及相关提供商目前仍在提供伪造的代码签名证书以及带有SSL证书的域名注册服务。
可能很多人都会认为，目前地下网络犯罪市场中流通的安全签名证书都是从合法用户或企业那里窃取来的，但事实并非如此。根据我们的调查发现，这些证书其实是提供商根据特定用户的需求来专门生成并利用窃取来的企业身份信息来注册的，这将会让传统的网络安全设备以及检测方案失效。

背景内容

其实这么多年以来，安全研究人员一直都在提醒广大用户：网络犯罪分子会使用伪造的代码签名证书来掩盖他们的恶意Payload。但是到目前为止，也没有多少安全组织对这些地下网络犯罪服务进行过彻底的调查和研究。
随着反病毒软件的检测能力不断提升，类似Payload加密这样的常见策略已经无法满足网络犯罪分子们的需求了。除此之外，想要让文件有效性维持较长时间也变成了一个巨大的挑战，有时攻击者甚至需要每天更新他们的可执行文件。因此，网络犯罪分子们急需一种更加全面和安全的方法来实现自己的目标，即利用一种二级保护层，并用合法机构办法的安全签名证书来给自己的恶意Payload文件进行签名。
虽然我们早在2011年就已经发现有攻击者在使用伪造的代码签名证书了，但是直到2015年第一批伪造签名证书才出现在地下网络犯罪市场中。

威胁分析

我们所知道的第一家提供伪造代码签名证书的提供商名叫C@T，在2015年3月份，C@T可以提供微软相关的安全鉴别程序签名服务，攻击者可签名32/64位版本的多种可执行文件。除此之外，C@T还可以签名微软Office文档、VBA文件、Netscape对象和Silverlight4应用程序。更重要的是，C@T甚至还提供了苹果代码证书签名服务。
C@T在他们打的广告中解释称，这些证书都是用合法企业的信息注册的，并且由Comodo、Thawte和赛门铁克等组织颁发，而这些都是信誉评分最高的证书颁发组织。卖家表示，他们所出售的每一份证书都是独一无二的，证书跟买家都是一对一的，而且用户可以在HerdProtect.com上对证书的有效性进行验证。根据C@T提供的信息，经过签名后的Payload文件其安装成功率为百分之三十到五十，而且他们甚至在不到6个月的时间里出售了超过六十份证书。
在那段时间里，C@T发现伪造证书的销量出现了萎缩，而且没能吸引到大量的新用户，而原因就是在某些特殊场景下的证书售价将高达1000美元/份。不过在大多数情况下，更普通实惠的证书也是可以使用的。
下图显示的是在暗网市场中伪造代码签名证书提供商的活动情况：

大约在两三年之后，又开始有三家新的提供商开始在地下网络犯罪市场中提供伪造的代码签名证书了，而这三家提供商主要活跃在东欧地区。但是现在有一家提供商已经将自己的主要业务转移到了其他的违法活动上，而另外两家提供商仍在给俄罗斯黑客提供伪造的代码签名证书。第二家提供商的主营业务主要是Class 3证书，证书售价大约是600美金，其中并不包括扩展验证型服务器证书（EV），但第三家提供商所提供的产品范围就比较广了。
Comodo所颁发的标准代码签名证书（不包含SmartScreen信用评级）价格为295美金，而买家所感兴趣的信用评级最高的是由赛门铁克颁发的EV证书，这种证书的价格则高达1599美金，其价格与普通的认证证书高出了230个百分点。对于那些需要批量购买代码签名证书的买家爱来说，可以花1799美金直接购买带有EV SSL加密的认证域名外加代码签名证书。
下图显示的是其中一家供应商给出的证书价格清单：

根据其中两家供应商在私人采访中给出的信息，为了确保颁发证书的有效性和使用时长，所有的证书都必须使用真实的公司信息来进行注册。但是我们认为，那些信用评级高的公司可能并没有意识到他们自己的数据已经被用于网络犯罪活动之中了。需要注意的是，所有的证书都是卖家单独为买家“量身定制”的，而且交货的平均时间为两到四天。

技术分析

网络犯罪分子们也表示，由于Chrome浏览器采用了非常先进的安全指标，所以相比于Firefox、IE以及Safari浏览器来说，客户一般会降低Chrome浏览器渗透成功率的期望。
Insikt Group成功说服了其中一家供应商配合他们来进行一项实验：即使用Comodo近期颁发的一份证书来对一个此前未被发现的远程访问木马（RAT）的Payload可执行文件进行签名，尽管测试文件事先加密过，但测试结果仍然证明了签名之后版本的有效性。除此之外，我们还对多个反病毒产品进行了测试。虽然只有八个反病毒提供商成功检测到了加密后的Payload，但是只有两家检测到了经过证书签名后的Payload文件。

总结

对于传统的加密服务来说，每次加密只需要花费10-30美元即可实现，与传统的加密服务不同的是，由于伪造证书的制作成本非常高，所以我们并不认为伪造的代码签名证书会成为一种主流的网络犯罪分支。但毫无疑问的是，很多复杂的攻击者或国家级黑客还将会继续使用伪造的代码签名证书或SSL证书来进行他们的黑客活动。