数字签名恶意软件的危险

数字签名恶意软件在网上盛行。 网络安全研究所 (CSRI) 最近进行的一项研究发现,任何人都可以轻松地在暗网上以高达 1200 美元的价格购买数字代码签名证书。

什么是数字证书?

数字证书是由证书颁发机构 (CA) 授予的用于对软件进行加密签名的东西。 您的计算机知道这些证书,并且会自动信任带有有效数字证书的应用程序。

所有最大的应用程序都利用了数字证书。 这意味着在安装程序时没有警告消息,这意味着人们不太可能由于担心恶意软件而中止安装。

数字证书怎样帮助恶意软件?

通过对恶意软件进行数字签名,它可以轻松绕过防病毒和操作系统级别的防御。 该证书实质上会欺骗您的 AV 和操作系统,让他们认为您正在安装的程序是完全合法的。 这意味着用户认为他们安装的是完全无害的软件,但实际上它是恶意的。

什么是数字认证流程?

开发者必须首先向受信任的证书颁发机构申请代码签名数字证书,该数字证书包含开发者的公钥和 CA 的公钥。 由 CA 来确认开发者的身份。 一旦确认这一点,数字证书和开发人员现在就绑定在一起了。

然后,开发人员将创建应用程序并对其进行签名。 签署应用程序后,加密散列算法(如 SHA)会创建唯一的散列输出,从而允许对应用程序进行数字识别。 然后由开发人员的私钥对该哈希进行签名以创建数字签名。

然后,开发人员将应用程序分发给公众并由用户下载。 然后用户的设备检查证书。 它通过使用证书中存在的算法重新散列来做到这一点。 原始签名内容哈希使用证书中存在的开发人员公钥解锁。 为了完全解锁证书,还需要 CA 的公钥。

然后比较原始和新的哈希值,如果哈希相同,这意味着应用程序没有被以任何方式篡改。

当前数字认证流程的弱点

只需一个 CA 向恶意个人颁发证书,您就可以得到可以轻松感染任何系统的数字签名恶意软件。 这是数字认证过程的一个基本问题。

完全有可能从经过验证的组织那里窃取证书。 正如网络间谍组织 Suckfly 所证明的那样。

还使用了更传统的方法。 与其他任何事情一样,数字证书可以通过多种不同方式被盗和滥用。

这扇经过认证的应用程序敞开大门,使系统很容易被滥用。 数字签名恶意软件的激增意味着人们需要对他们在计算机上安装的内容格外警惕。

有效证书比格式错误的证书更常见吗?

2017 年 11 月开始,马里兰大学的三名研究人员亲自分析了 325 件签名恶意软件的样本量。 他们发现 58.2% (189) 的样本带有有效签名,而 136 带有格式错误或被篡改的签名。

他们还发现 88.8% 的恶意软件仅依赖于一个被盗证书。 这再次说明了证书制度的不足。 单个有效证书很容易被滥用,而 CA 在撤销受损签名方面还不够好。

防病毒不是一个简单的解决方案
同一研究人员还发现,34 个反病毒程序未能检查签名是否仍然有效。 这使得恶意软件在签名后很容易被吊销证书。

Kaspersky 和 ​​Microsoft Defender 等主流反病毒软件没有注册研究人员向其抛出的一些恶意软件。 其他防病毒软件(例如 Avira、Malwarebytes 和 Sophos)也是如此。

nProtect、腾讯和 Paloalto 等更高级的防病毒软件表现稍好一些,检测到一些未签名的勒索软件,但在引入的十个签名恶意软件样本中没有检测到八个。

这是这些大型反病毒公司需要关注和解决的问题。 这为用户很容易被恶意软件利用打开了大门。 检查证书将允许被撤销的签名恶意软件很容易被检测和处理。

数字签名恶意软件造成严重破坏的已知示例

有几个众所周知的数字签名恶意软件案例会造成巨大破坏。 最新的一款是 CCleaner,这是一款软件实用程序,可帮助您保持 PC 整洁。

通过使用经过验证的证书,并将合法下载替换为带有恶意软件的证书,它可以轻松安装恶意软件并且不会被发现。

结果发现,这次爆发不仅感染了个人用户,还感染了周围一些最大的科技公司。 思科、英特尔、VMware 和 Microsoft 等名称都被发现被感染。

这类恶意软件攻击很容易毁掉一个公司的声誉,很多人在攻击后再也不会信任CCleaner了。 这就是此类违规行为的严重性。 后果的传播范围也远不止家庭用户。

我该怎样保护自己?

保护自己免受这种威胁是相当困难的。 您可以做的最好的事情是确保您从官方网站下载应用程序,但这也不是一个万无一失的解决方案(请参阅 CCleaner)。 您还可以保留一个 close 关注最新动态并让自己保持最新状态。 最好的办法是订阅发布有关最新事件的新闻和文章的平台。

在 hide.me VPN,我们的目标是提供有关行业最新动态的第一手信息。