被盗的D-Link证书用于对间谍恶意软件进行数字签名

近年来，数字签名恶意软件在掩盖恶意意图方面变得更加常见。



您可能知道，由可信证书颁发机构（CA）颁发的数字证书用于以加密方式对计算机应用程序和软件进行签名，并且在没有任何警告消息的情况下由计算机信任这些程序的执行。

然而，近年来，恶意软件作者和黑客一直在寻找绕过安全解决方案的先进技术，滥用受信任的数字证书。

黑客使用与受信任的软件供应商相关的受损代码签名证书对其恶意代码进行签名，从而降低其恶意软件在目标企业网络和消费设备上被检测到的可能性。

ESET的安全研究人员最近发现了两个恶意软件家族，它们之前与网络间谍组织BlackTech有关，使用的是D-Link网络设备制造商和另一家台湾安全公司Changed Information Technology的有效数字证书。

第一个被称为申辩，是一个远程控制的后门，旨在窃取机密文件并监视用户。

第二个恶意软件也是一个相关的密码窃取软件，旨在从Google Chrome、Microsoft Internet Explorer、Microsoft Outlook和Mozilla Firefox收集保存的密码。

研究人员将该问题通知了D-link和Changed Information Technology，两家公司分别于2018年7月3日和7月4日撤销了受损的数字证书。

由于大多数防病毒软件即使在公司撤销其证书的签名时也无法检查证书的有效性，因此BlackTech黑客仍在使用相同的证书对其恶意工具进行签名。

研究人员说：“在未来的攻击中，台湾的几家科技公司能够妥协，并重新使用他们的代码签名证书，这表明这群人技术高超，专注于该地区。”。

这已经不是黑客第一次使用有效的证书来签署他们的恶意软件了。2003年针对伊朗核处理设施的臭名昭著的Stuxnet蠕虫也使用了有效的数字证书。

此外，2017年的CCleaner黑客攻击（黑客用受污染的下载内容替换了原来的CCleaner软件）也因数字签名软件更新而成为可能。