惡意軟件作者迅速采取SHA-2通過(guò)偷來(lái)的代碼簽名證書(shū).灰鴿子下載,遠(yuǎn)程控制軟件

admin

惡意軟件作者迅速采取SHA-2通過(guò)偷來(lái)的代碼簽名證書(shū).灰鴿子下載,遠(yuǎn)程控制軟件
惡意軟件保護(hù)已經(jīng)適應(yīng)了新的Windows限制與SHA-1-based數(shù)字證書(shū)簽署的文件
隨著IT行業(yè)正在逐步淘汰老化的sha - 1哈希算法不僅僅是網(wǎng)站所有者和軟件開(kāi)發(fā)者正在取代他們的數(shù)字證書(shū):網(wǎng)絡(luò)犯罪也緊隨其后。
賽門(mén)鐵克的研究人員最近發(fā)現(xiàn)新的Carberp樣本。B網(wǎng)上銀行木馬進(jìn)行數(shù)字簽名,而不是一個(gè),而是兩個(gè)偷來(lái)的證書(shū):一個(gè)使用sha - 1簽名和一個(gè)使用SHA-2簽名。
“它可以安全地使用證書(shū)包含惡意軟件作者的猜測(cè),不同算法希望阻撓檢測(cè)、“賽門(mén)鐵克的研究人員在一篇博客文章中說(shuō)。
sha - 1哈希函數(shù)的過(guò)程中理論上退休,因?yàn)樗�是容易受到攻�?可能導(dǎo)致偽造的數(shù)字證書(shū),這只是一個(gè)時(shí)間問(wèn)題有人收益的能力。
去年微軟改變了其加密庫(kù)以便Windows 7和更高和Windows服務(wù)器將不再信任代碼與sha - 1基于證書(shū)簽署的時(shí)間戳晚于1月1日2016年。Windows旗幟的限制僅適用于文件從互聯(lián)網(wǎng)上獲得的,這種情況對(duì)于大多數(shù)惡意軟件。
數(shù)字簽名惡意軟件曾經(jīng)是很少見(jiàn),但在過(guò)去的幾年里這種項(xiàng)目的數(shù)量增加了針對(duì)操作系統(tǒng)更難non-signed運(yùn)行文件。
例如,Windows顯示用戶帳戶控制(UAC)為無(wú)符號(hào)可執(zhí)行文件安全警告,試圖獲得管理員權(quán)限而蘋(píng)果的Mac OS X的最新版本只允許應(yīng)用程序運(yùn)行,如果他們已經(jīng)從Mac App Store下載或如果他們已經(jīng)與開(kāi)發(fā)商簽署證書(shū)獲得蘋(píng)果。
除了繞過(guò)這些限制,網(wǎng)絡(luò)犯罪也發(fā)現(xiàn)有多個(gè)數(shù)字簽名在單個(gè)文件可以有其他好處。
自證書(shū)用于簽名惡意軟件通常是偷來(lái)的合法組織和襲擊者自己買(mǎi)來(lái)的,那些盜竊被發(fā)現(xiàn)的可能性和證書(shū)被吊銷他們的合法所有者。有兩個(gè)簽名在單個(gè)文件確保即使一個(gè)證書(shū)被吊銷,文件仍將出現(xiàn)信任由于其他簽名。
“Carberp的攻擊還指出與SHA-2轉(zhuǎn)向使用數(shù)字證書(shū),“賽門(mén)鐵克研究人員說(shuō)。“雖然從SHA-2可能不是即時(shí)sha - 1,因?yàn)檫z留系統(tǒng)不支持更新的算法,這些攻擊表明變化�！�
用戶不應(yīng)該允許文件運(yùn)行僅僅因?yàn)樗麄兯坪跖c一個(gè)有效的證書(shū)。如何獲取文件總是比其標(biāo)志性更重要,因?yàn)檫@是總是一個(gè)合法的開(kāi)發(fā)人員是妥協(xié)的可能性和他的代碼簽名證書(shū)被盜。
數(shù)字證書(shū)已經(jīng)成為網(wǎng)絡(luò)罪犯的有價(jià)值的目標(biāo),重要的是業(yè)主的證書(shū)保持強(qiáng)大的網(wǎng)絡(luò)安全實(shí)踐和確保他們安全地存儲(chǔ)。