信息來源：secdoctor

數(shù)字簽名的出現(xiàn)，曾大大加強(qiáng)了計(jì)算機(jī)應(yīng)用使用的安全性，其復(fù)雜、獨(dú)特的加密方式使得證書成為了軟件的“防偽標(biāo)志”，并迅速普及。

但俗話說你有張良計(jì)我有過墻梯，近年來出現(xiàn)了一種新的攻擊方式，是通過合法數(shù)字證書對(duì)惡意軟件進(jìn)行簽名，并進(jìn)一步入侵計(jì)算機(jī)。

日前，安全研究人員發(fā)現(xiàn)一款新的惡意軟件，該軟件使用了臺(tái)灣某科技公司(D-Link)的合法數(shù)字證書簽名，并將其偽造成了安全應(yīng)用。

眾所周知，由受信任證書頒發(fā)機(jī)構(gòu)(CA)頒發(fā)的數(shù)字證書，一般用于對(duì)計(jì)算機(jī)應(yīng)用程序進(jìn)行加密簽名，從而使得計(jì)算機(jī)“信任”該程序，免受防護(hù)程序的查殺。即一個(gè)官方認(rèn)證的過程。

然而，一些惡意軟件制造者以及黑客團(tuán)伙，為了繞過數(shù)字證書這一“門檻”，可謂無所不用其極。

最近被發(fā)現(xiàn)的就是一種能夠通過認(rèn)證的惡意軟件。黑客使用受信任軟件供應(yīng)商處的受損數(shù)字簽名證書進(jìn)行偽造，從而降低了惡意軟件在目標(biāo)網(wǎng)絡(luò)設(shè)備上被檢測(cè)到的可能性。

ESET的安全研究人員近日確認(rèn)了兩個(gè)類型的惡意軟件，一個(gè)是遠(yuǎn)程控制的后門程序，能夠監(jiān)控目標(biāo)用戶并竊取計(jì)算機(jī)文件;另一個(gè)則是從Google、Firefox、IE、outlook等渠道獲取保存的密碼信息的密碼竊取程序。

該惡意軟件的使用者被認(rèn)為是黑客組織Black Tech，因其數(shù)字簽名證書來自臺(tái)灣的D-Link與Changing Information Technology兩家公司。

研究人員已向兩公司通報(bào)了關(guān)于惡意軟件的情況，并且兩公司也分別于2018年7月3日和4日撤銷了受損數(shù)字證書的簽名權(quán)。

然而，盡管簽名被撤銷，但大多數(shù)病毒防護(hù)軟件都不具備證書有效性檢查的功能，所以黑客仍然可以用原來的證書簽署惡意軟件。

事實(shí)上，這并不是第一次出現(xiàn)類似的攻擊事件。早在2003年，伊朗核處理設(shè)施受到Stuxnet蠕蟲攻擊的事件便是同樣的方式。

此外，2017年CCleaner黑客事件，是通過下載被感染的軟件代替了原始程序，從而更新了數(shù)字簽名證書?？梢娫谑褂脭?shù)字證書方面黑客們?cè)缫演p車熟路，防御措施仍需要不斷進(jìn)步。