恶意软件作者通过被盗的代码签名证书迅速采用SHA-2

恶意软件推送程序已适应Windows的新限制,以限制使用基于SHA-1的数字证书签名的文件

数字密钥,安全性,加密
IDGNS

随着IT行业正在努力淘汰老化的SHA-1哈希算法,不只是网站所有者和软件开发人员都在争相替换其数字证书:网络犯罪分子也正在效仿。

赛门铁克的研究人员最近发现了新的Carberp.B网上银行木马样本,这些样本不是用数字签名的,而是用两种偷来的证书进行签名的:一个使用SHA-1签名,一个使用SHA-2签名。

赛门铁克研究人员在一份报告中说:“可以放心地认为,恶意软件作者使用了包含不同算法的证书,希望能够阻止这种检测。” 博客文章.

SHA-1散列函数正在淘汰中,因为它在理论上是 容易受到攻击 这可能会导致伪造的数字证书,而某人获得执行此操作的能力只是时间问题。

去年,微软对其加密库进行了更改,以便Windows 7及更高版本和Windows Server 将不再信任使用基于SHA-1的证书签名的代码 如果其时间戳记晚于2016年1月1日。此限制仅适用于Windows标记为从互联网获取的文件,大多数恶意软件都是这种情况。

经过数字签名的恶意软件曾经很少发生,但是在过去的几年中 这样的程序数量增加了 响应操作系统,使运行非签名文件变得更加困难。

例如,Windows显示未签名的可执行文件的用户帐户控制(UAC)安全警告,这些文件试图获取管理员特权,而最新版本的Apple Mac OS X允许应用程序仅在从Mac App Store下载或仅在从应用程序下载后才能运行。已使用从Apple获得的开发者证书签名。

除了绕过这些限制之外,网络犯罪分子还发现,在单个文件上具有多个数字签名会带来其他好处。

由于用于签名恶意软件的证书通常是从合法组织窃取的,而不是由攻击者自己购买的,因此,被盗窃并被其合法所有者吊销证书的可能性很高。在单个文件上具有两个签名可确保即使一个证书被吊销,由于另一个签名,该文件仍将显示为受信任。

赛门铁克研究人员说:“对Carberp的攻击也表明向SHA-2使用数字证书的转变。” “由于传统系统不支持较新的算法,从SHA-1迁移到SHA-2可能不是立即的,但这些攻击确实表明正在发生变化。”

用户不应仅因为文件似乎已使用有效证书进行签名就允许其运行。文件的获取总是比其签名更为重要,因为合法的开发人员总是有可能受到威胁,并且其代码签名证书被盗。

由于数字证书已成为网络犯罪分子的重要目标,因此对于此类证书的所有者而言,重要的是要保持严格的网络安全惯例并确保将其安全存储。

有关:

版权© 2016 IDG通讯,Inc.

  
在亚马逊上购买技术产品