惡意軟件作者迅速采取SHA-2通過偷來的代碼簽名證書.灰鴿子下載,遠程控制軟件

admin

惡意軟件作者迅速采取SHA-2通過偷來的代碼簽名證書.灰鴿子下載,遠程控制軟件
惡意軟件保護已經(jīng)適應(yīng)了新的Windows限制與SHA-1-based數(shù)字證書簽署的文件
隨著IT行業(yè)正在逐步淘汰老化的sha - 1哈希算法不僅僅是網(wǎng)站所有者和軟件開發(fā)者正在取代他們的數(shù)字證書:網(wǎng)絡(luò)犯罪也緊隨其后。
賽門鐵克的研究人員最近發(fā)現(xiàn)新的Carberp樣本。B網(wǎng)上銀行木馬進行數(shù)字簽名,而不是一個,而是兩個偷來的證書:一個使用sha - 1簽名和一個使用SHA-2簽名。
“它可以安全地使用證書包含惡意軟件作者的猜測,不同算法希望阻撓檢測、“賽門鐵克的研究人員在一篇博客文章中說。
sha - 1哈希函數(shù)的過程中理論上退休,因為它是容易受到攻擊,可能導(dǎo)致偽造的數(shù)字證書,這只是一個時間問題有人收益的能力。
去年微軟改變了其加密庫以便Windows 7和更高和Windows服務(wù)器將不再信任代碼與sha - 1基于證書簽署的時間戳晚于1月1日2016年。Windows旗幟的限制僅適用于文件從互聯(lián)網(wǎng)上獲得的,這種情況對于大多數(shù)惡意軟件。
數(shù)字簽名惡意軟件曾經(jīng)是很少見,但在過去的幾年里這種項目的數(shù)量增加了針對操作系統(tǒng)更難non-signed運行文件。
例如,Windows顯示用戶帳戶控制(UAC)為無符號可執(zhí)行文件安全警告,試圖獲得管理員權(quán)限而蘋果的Mac OS X的最新版本只允許應(yīng)用程序運行,如果他們已經(jīng)從Mac App Store下載或如果他們已經(jīng)與開發(fā)商簽署證書獲得蘋果。
除了繞過這些限制,網(wǎng)絡(luò)犯罪也發(fā)現(xiàn)有多個數(shù)字簽名在單個文件可以有其他好處。
自證書用于簽名惡意軟件通常是偷來的合法組織和襲擊者自己買來的,那些盜竊被發(fā)現(xiàn)的可能性和證書被吊銷他們的合法所有者。有兩個簽名在單個文件確保即使一個證書被吊銷,文件仍將出現(xiàn)信任由于其他簽名。
“Carberp的攻擊還指出與SHA-2轉(zhuǎn)向使用數(shù)字證書,“賽門鐵克研究人員說。“雖然從SHA-2可能不是即時sha - 1,因為遺留系統(tǒng)不支持更新的算法,這些攻擊表明變化�！�
用戶不應(yīng)該允許文件運行僅僅因為他們似乎與一個有效的證書。如何獲取文件總是比其標志性更重要,因為這是總是一個合法的開發(fā)人員是妥協(xié)的可能性和他的代碼簽名證書被盜。
數(shù)字證書已經(jīng)成為網(wǎng)絡(luò)罪犯的有價值的目標,重要的是業(yè)主的證書保持強大的網(wǎng)絡(luò)安全實踐和確保他們安全地存儲。