Cyberespionage Groups正在窃取数字证书来签署恶意软件
越来越多的Cyber Image组正在使用被盗的签名证书来使他们的黑客工具和恶意软件看起来像合法的应用程序。
最新示例是在过去两年中推出了针对来自世界各地的政府和商业组织的有针对性的攻击。
研究人员在2015年底,当他们检测到攻击其中一家客户的攻击时,他们的研究人员被赛门铁克的研究人员揭幕。
该工具是Windows Brute-Force Server Message块(SMB)扫描仪的标识,其数字证书属于韩国移动软件开发人员。这立即将红旗作为移动软件公司举起,没有理由签署此类应用程序。
进一步的搜索导致了识别已与同一证书签署的三种额外的黑客工具,并已用于对在印度运营的基于美国的健康提供者的攻击中。
赛门铁克的研究人员追溯到中国成都的IP(互联网协议)地址的袭击。
调查最终导致了在过去两年中发现了同一组攻击者使用的额外黑客计划和恶意软件。这些方案已签署九名被盗的数字证书,属于来自韩国首尔的公司。
三位证书业主是来自软件行业的公司,三个来自视频游戏行业,两个来自娱乐和媒体行业,一个来自金融服务业。
“虽然我们不了解证书如何被盗的确切情况,但最可能的情况是,公司被突破了与恶意软件有能力从组织中搜索和提取证书的能力,”赛门铁克研究人员说星期二博客帖子。“我们已经看到这种功能在现在多年来一系列的恶意软件内置。”
研究人员表示,当他们仍然有效并且他们的合法主人没有知道他们被盗,他们仍然有效,他们的权利所有人没有知道他们被盗了,即使有些证书已经被用来签署恶意软件。
除了赛门铁克被称为鲈鱼的基于中国的黑客组之外,赛门铁克的攻击组织使用了一个似乎专为春季攻击而设计的自定义后门程序。Symantec称此恶意软件程序后门.NidiRan。
肥饼不是第一组攻击者,以数字签名它的恶意软件。隐藏的Lynx和Winnti Gangs于2013年暴露,以及2015年未发现的黑藤集团,也亦已在其运营中使用被盗的签字证书。影响伊朗核计划的Stuxnet Cybersabotage Worm有几个盗窃证书签署的成分。
“袭击者正在窃取证书的时间和精力,因为赛门铁克的研究人员表示,在有针对性的计算机上掌握立足点是必要的。”“尝试使用签名证书签署恶意软件已变得更加常见,因为Internet和安全系统已朝向更信任和以信誉为导向的模型。这意味着除非签名,否则可能无法运行不受信任的软件。“
默认情况下,如果已从Mac App Store下载或已签名,则默认情况下,Apple“S Mac OS X的最新版本仅允许应用程序运行。Windows将为尝试获得管理员权限的无符号可执行文件显示用户帐户控件(UAC)警告。
一些应用程序白名单和其他安全产品也可以根据是否用可信证书进行数字签名,以不同地处理文件。
很明显,数字证书,特别是用于代码签名的证书已成为网络犯罪分子的宝贵目标,因此对于拥有这种证书的组织来保持强大的网络安全行为并将其存储在安全环境中非常重要。