瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 数字签名暗藏后门 颁证机构审核不严被利用
麦青儿 - 2019-12-27 20:01:00
近日,瑞星安全研究院截获到一批最新的恶意病毒样本,经过分析发现这批样本内均带有有效的数字签名,这就代表这批最新病毒可以堂而皇之的躲过杀毒软件查杀,从而达到感染电脑进行破坏的目的。瑞星安全专家进一步分析发现,此批样本感染成功之后,会植入“大灰狼”远程控制木马,电脑内重要机密信息及数据就会被窃取,并且电脑将被病毒作者控制。


图:​捕获的恶意病毒样本


那么,病毒作者为什么要获取有效的数字签名呢?

众所周知,数字签名是保证信息传输完整性、真实性、安全性及身份认证的一个验证方式,被广泛应用于银行、电子政务及电子协议等互联网领域。正常情况下,绝大多数正规的软件厂商都会向证书颁发机构申请数字签名证书。换句话说,拥有数字签名会给人权威、正规、高大上的感觉。所以,目前绝大多数的杀毒软件会对持有正规合法数字签名的程序当成“VIP”一样放行。因此,获得有效数字签名就成为病毒作者躲避杀毒软件查杀的究极手段之一。

那么,病毒作者是如何获取有效的数字签名的呢?


据瑞星安全专家介绍,第一种原因是由于数字签名拥有者没有妥善保管签名用的私钥,导致证书泄漏或者被病毒作者窃取。除这种方式外,还有一种方式更为可怕,也是病毒作者最常用的方式,就是证书颁发机构审核不严,攻击者通过向证书颁发机构提交伪造的公司资料(通常伪造的公司都是一些知名公司),来获取有效的数字签名,一旦成功之后,病毒作者可以制作成带有恶意软件的签名,由于文件签名展示的信息与该公司拥有的证书文件展示信息没有明显差别,因此很难被发现。


图:仿冒申请的签名与正常签名的对比


瑞星公司在此建议广大用户,将杀毒软件更新至最新版本可以有效拦截远控木马等各类病毒,同时建议证书颁发机构加强对数字签名证书的申请审核力度,谨防不法分子利用假冒公司信息获取有效数字签名,以此牟取私利或进行其他犯罪活动。

附:针对在有效数字证书内植入远控木马病毒分析报告>>
AK2019 - 2019-12-27 20:11:00
麦青儿 - 2019-12-27 20:17:00
骑个扫帚来查岗:kaka2:  周末愉快:kaka12:
天月来了 - 2019-12-29 8:11:00
数字签名证书这玩意微软当年本就不是将它作为安全认证用的。

原本的出发点是作为第三方软件准入机制来折腾的。

只是安全软件们不知道哪年主防开始以签名证书来作为安全识别,这自然也就促成制毒者将签名证书现在这样玩弄了。
麦青儿 - 2019-12-31 14:55:00
不管主防规则怎么制定怎么判断,都会有主防白名单的,总有些大厂商的签名会加到主防的白名单里,
如果他们的数字签名被盗用了,我们可以吊销(从白名单里去掉)。
1
查看完整版本: 数字签名暗藏后门 颁证机构审核不严被利用