過去我曾給大家介紹過,為何數字證書對騙子和情報機構如此具有吸引力。其中一個原因就是,合法的數字簽名證書可以被用來迷惑殺毒軟件。自然而然,數字簽名證書在黑市也成為一個珍貴的商品,越來越多的人開始做這個有利可圖的生意。
漸漸成型的數字簽名產業鏈
幾周前,來自IBM安全X-Force的專家觀察到,暗網黑市如今提供了專門的證書銷售渠道(CaaS)。黑客可以在暗網黑市里,購買來自受信任的證書頒發機構的數字簽名證書。
而在過去的幾個月里,數字簽名證書的銷售額大幅增加。這一趨勢也證實了情報威脅公司InfoArmor的分析結果。
這個研究引出了一個案例,某黑客曾利用一個叫GovRAT的工具,給惡意軟件簽署了合法機構頒發的數字證書。
GovRAT數字證書
GovRAT是一個給惡意軟件簽署數字簽名證書的平臺,而里面的數字證書最初在Tor網絡黑市TheRealDeal上銷售。GovRAT世面上售價1.25比特幣,但專家觀測到,開發人員如今在私下兜售。
GovRAT可以使用Microsoft SignTool、WinTrust、Authenticode技術等,對惡意代碼進行數字簽名。專家們認為GovRAT的最終買家,大多數是針對政治、外交、軍事類等組織的,超過15個國家政府的APT組織。
InfoArmor分析得,那些惡意軟件分別簽署了不同的數字證書。他們報道稱,有七家銀行(部分在美國),以及30個國防承包商也被GovRAT簽名的惡意軟件針對了。據悉,自2014年初,有超過100個組織受到GovRAT簽名過的惡意軟件攻擊。
此外,InfoArmor專家還發現了不少黑市出售的簽名過的商品。其中,據CA數字證書級別劃分,價格600-900美元不等。我們很容易在其中找到來自Comodo、GoDaddy、Thawte之類的數字簽名證書。雖然機構的CA證書是可以撤銷重造的,但這類事件不算常見,相關公司的事件響應速度也會非常緩慢。
GovRAT的用途
InfoArmor 的CIO 安德魯·科馬羅夫告訴記者:
“這些開發了惡意軟件的黑客買家,大多數都有國家支持。這是很專業的東西,普通的腳本小子和網絡罪犯是不需要它的,因為GovRAT通常用于有針對性的隱匿APT攻擊。這樣的東西出現在黑市,能讓牛逼的黑客更加容易發揮,造就出如Stuxnet(震網病毒)帶來的效果。然而,這是一個特定的市場,數字證書的數量也有限,所以交易量不會很大。但是就我們統計所得,這類服務的交易量正在顯著增長。”
這些偽造的證書通常用于國家資助發起的攻擊,如Stuxnet和索尼黑客事件。
投機者通過機構購買合法的數字證書,他們提供了假名字、虛假的軟件作者信息、以及編造為何需要證書。他們在取得證書后,會在黑市轉手賣給黑客,讓黑客得以在短時間內在APT攻擊里用上合法簽名的惡意軟件。
InfoArmor曾報道過certs4you.org網站的案例,這個網站就提供了為惡意軟件簽名的服務。
小編結語
利用合法的數字簽名技術,能繞過一些殺毒軟件。像以前FreeBuf報道過的D-LINK路由器,就在固件包里泄露了簽名證書,因此用這個法子免殺還是很有市場的。
京公網安備 11010502049343號