超级秘密数字签名恶意软件的崛起，多亏了黑暗的网络

这是数字代码签名证书。

网络安全研究所（CSRI）本周进行的一项最新研究显示，任何人都可以在黑暗的网络上以1200美元的价格购买被盗的数字代码签名证书。

如您所知，由可信证书颁发机构（CA）颁发的数字证书用于对计算机应用程序和软件进行加密签名，并且在没有任何警告消息的情况下由您的计算机信任这些程序的执行。

然而，恶意软件作者和黑客总是在寻找绕过安全解决方案的先进技术，近年来一直在滥用受信任的数字证书。
黑客使用与受信任的软件供应商相关的受损代码签名证书对其恶意代码进行签名，从而降低其恶意软件在目标企业网络和消费设备上被检测到的可能性。

2003年针对伊朗核处理设施的臭名昭著的Stuxnet蠕虫也使用了合法的数字证书。此外，由于数字签名的软件更新，最近的CCleaner污染下载感染成为可能。

秘密数字签名恶意软件越来越普遍

然而，一组安全研究人员进行的另一项研究发现，数字签名的恶意软件已经变得比以前想象的要普遍得多。

三位研究人员，Doowon Kim，BumJun Kwon和都铎塔斯从马里兰大学，学院公园和第8212，他们说，他们总共发现了325个签名的恶意软件样本，其中189个（58.2%）带有有效的数字签名，136个带有格式错误的数字签名。

研究人员说：“这种格式错误的签名对对手很有用：我们发现，简单地将Authenticode签名从合法样本复制到未签名的恶意软件样本，可能有助于恶意软件绕过AV检测”。

这189个正确签名的恶意软件样本是使用111个由公认CA颁发的受损唯一证书生成的，用于签名合法软件。

在撰写本文时，其中27个受损证书已被撤销，尽管其余84个未撤销证书中的一个签署的恶意软件只要带有受信任的时间戳，仍将受到信任。

“很大一部分（88.8%）的恶意软件家族依赖于单一证书，这表明滥用证书主要由恶意软件作者控制，而不是由第三方控制，”三人说。

研究人员发布了signedmalware上滥用证书的列表。组织。

撤销被盗证书并不能立即阻止恶意软件

即使签名无效，研究人员发现至少有34种防病毒产品未能检查证书的有效性，最终导致恶意代码在目标系统上运行。
研究人员还进行了一项实验，以确定错误的签名是否会影响反病毒检测。为了证明这一点，他们随机下载了5个未签名的勒索软件样本，几乎所有反病毒程序都被检测为恶意。

三人随后拿走了两份过期的证书，这两份证书之前曾被用于签署合法软件和野生恶意软件，并用它们签署了五个勒索软件样本中的每一个。

Top Antivirus无法检测用被盗证书签名的恶意软件

在分析由此产生的十个新样本时，研究人员发现许多反病毒产品未能检测到恶意软件。

前三大杀毒产品，nProtect、腾讯和帕洛阿尔托，检测到未签名的勒索软件样本为恶意软件，但认为十个精心制作的样本中有八个是良性的。

就连来自卡巴斯基实验室、微软、TrendMicro、赛门铁克和康茂德的流行反病毒引擎也未能检测到一些已知的恶意样本。

其他受影响的杀毒软件包包括CrowdStrike、Fortinet、Avira、Malwarebytes、SentinelOne、Sophos、TrendMicro和奇虎等。

研究人员说：“我们认为，（无法检测恶意软件样本）是因为AVs在过滤和优先排列要扫描的文件列表时考虑了数字签名，以减少用户主机的开销”。“然而，许多AV中不正确地执行Authenticode签名检查，使恶意软件作者有机会用一种简单而廉价的方法逃避检测”。

研究人员说，他们向受影响的反病毒公司报告了这个问题，其中一家公司已经确认，他们的产品无法正确检查签名，他们计划解决这个问题。

周三，研究人员在达拉斯的计算机与通信安全（CCS）会议上介绍了他们的发现。

有关这项研究的更多详细信息，请参阅他们的研究论文[PDF]，题为“认证恶意软件：衡量Windows代码签名PKI中的信任漏洞”