在地下黑市中售卖的企业代码签名证书价格继续高涨
我们知道越来越多的网站开始采用HTTPS加密安全传输用于保护访问者与服务器间传输的数据不会遭到窃取。
同样对于桌面软件而言则可以使用代码签名防止遭到篡改,在篡改后签名失效提醒用户谨慎运行可执行文件。
同时大多数安全软件和操作系统默认会对具有签名的软件放行,正是如此黑市中对于代码签名需求越来越高。
企业证书被用于木马病毒签名:
近期美国马里兰州大学的安全研究人员发现325个病毒样本,其中 189 个病毒样本具有正规企业的数字签名。
这些病毒携带的数字签名可以帮助其绕过安全软件的检测,因此对制作者来说可以极大地提高病毒感染效率。
而这些正规的数字签名大多数都是企业因为某些因素泄露的,更有甚者在签名泄露许久后都未向CA申请吊销。
这些仍然被操作系统和安全软件信任的数字证书已经成为地下黑市的香饽饽, 其价格近年来则持续水涨船高。
即使是错误的签名也会被安全软件信任:
让人大跌眼镜的是在发现的病毒里有30%具有已经过期的数字签名,这些过期签名已经不再被操作系统信任。
但全球众多安全软件却缺乏对过期数字签名的有效检测,因此病毒即便使用过期签名的情况下还是被放行了。
即便是研究人员测试了卡巴斯基、微软、趋势科技、赛门铁克以及腾讯等安全软件也没能够全部检测出样本。
同等条件下这些病毒样本被去除过期数字签名后却基本都能被检测出来,说明安全软件无法有效的识别证书。
泄露的证书来自国内外众多企业:
这些被泄露了但依然还有效的数字签名来自众多企业,包括中国的多个科技企业的数字证书也已经被泄露了。
而数字证书被泄露显然是企业内部管理不善或者出现内鬼,这些有效的签名在黑市中每份高达 1,200 多美元。
对于黑产团队而言只要购买 1 份就可以为众多病毒进行签名,无论是否有效都可躲过大多数安全软件的检测。
研究人员已经向多个安全软件反馈此问题:
针对众多安全软件无法有效的识别证书是否还有效的问题,研究人员已经向大多数安全软件厂商报告了问题。
其中已经有 1 个安全软件厂商承认没有正确检测数字签名,该安全厂商将会在后续版本中加强检测数字证书。
不过目前大多数安全软件还有没有针对此事作出回应,研究人员已同时将研究结果披露给微软公司进行评估。
毕竟这些问题几乎影响的全部是微软Windows操作系统,详情请看《衡量代码签名PKI中的信任违约问题》。