网络间谍团体正在窃取数字证书来签署恶意软件

自2014年以来,这家总部位于中国的Suckfly集团已使用九种被盗的数字证书对其恶意程序进行签名

代码签名证书是黑客的诱人目标
IDGNS

越来越多的网络间谍组织正在使用被盗的代码签名证书,使他们的黑客工具和恶意软件看起来像合法的应用程序。

最新的例子是一个总部位于中国的黑客组织,该组织在过去两年中对全球的政府和商业组织发起了有针对性的攻击。

Symantec的研究人员在2015年末发现了该小组的活动,当时他们检测到一种用于对公司客户之一进行攻击的数字签名黑客工具。

该工具是Windows蛮力服务器消息块(SMB)扫描程序,已使用属于韩国移动软件开发商的数字证书签名。这立即引起了危险信号,因为移动软件公司将没有理由对此类应用程序进行签名。

进一步的搜索导致发现了另外三个使用相同证书签名的黑客工具,这些黑客工具已用于对在印度运营的美国卫生保健提供者的攻击。

赛门铁克研究人员将这些攻击追溯到中国成都的IP(互联网协议)地址。

调查最终导致发现了过去两年中同一组攻击者使用的其他黑客程序和恶意软件。这些程序已经用属于韩国首尔公司的九份被盗数字证书签署了。

证书持有者中的三位来自软件行业的公司,三位来自视频游戏行业的公司,两位来自娱乐和媒体行业的公司,一位来自金融服务行业的公司。

赛门铁克研究人员在一份报告中说:“虽然我们不知道如何窃取证书的确切情况,但最有可能的情况是,这些公司被恶意软件入侵,这些恶意软件具有从组织内部搜索和提取证书的能力。” 博客文章 星期二。 “多年来,我们已经看到这种功能已内置到各种恶意软件中。”

研究人员说,当这些证书在2015年末被发现时,它们仍然有效,而且合法所有者甚至不知道它们已被盗,即使其中一些证书自2014年以来就已用于签署恶意软件。

除黑客工具外,赛门铁克将其命名为Suckfly的中国黑客组织还使用了一个定制后门程序,该程序似乎是专门为网络间谍攻击而设计的。赛门铁克将该恶意软件称为Backdoor.Nidiran。

Suckfly并不是第一个对其数字签名进行恶意软件签名的攻击者。的 隐藏的山猫温蒂 在2013年曝光的团伙,以及 黑藤 该组织于2015年被发现,在其运营中也曾使用过失窃的代码签名证书。更著名的是,影响伊朗核计划的Stuxnet网络破坏蠕虫的组件签名带有几份被盗证书。

赛门铁克研究人员说:“攻击者正在花费时间和精力来窃取证书,因为变得有必要在目标计算机上立足。” “随着Internet和安全系统朝着更加以信任和信誉为导向的模型发展,尝试使用代码签名证书对恶意软件进行签名的尝试变得更加普遍。这意味着,除非经过签名,否则不信任的软件可能无法运行。”

默认情况下,最新版本的Apple Mac OS X仅在从Mac App Store下载了应用程序或者使用从Apple获得的开发人员证书签名的应用程序后才能运行。 Windows将为试图获得管理员特权的未签名的可执行文件显示用户帐户控制(UAC)警告。

某些安全和应用程序列入白名单的产品还可以根据文件是否使用受信任的证书进行数字签名来区别对待文件。

显然,数字证书(尤其是用于代码签名的证书)已成为网络犯罪分子的重要目标,因此,对于拥有此类证书的组织而言,保持强大的网络安全惯例并将其存储在安全的环境中非常重要。

有关:

版权© 2016 IDG通讯,Inc.