研究发现有恶意软件获得微软WHQL签名 面向中国游戏玩家发起攻击
数字证书是用来验证软件开发者并保证软件不被篡改的 , WHQL签名则是微软推出的专门用于驱动程序数字证书。
对此类驱动程序签名微软通常会进行严格的审核,而事实证明即便严格审核也可能有恶意软件成功获得微软签名。
知名安全软件开发商比特梵德日前发现在中国地区有款活跃的恶意软件,这款恶意软件携带微软签发的数字证书。
这使得该恶意软件在安装时可以诱骗用户获得信任,同时基于系统级的微软认证签名也让其获得更高的操作权限。
调查发现这款恶意软件名称 FiveSys , 目前仅发现其在中国地区运行且主要面向中国网络游戏玩家进行恶意操作。
该恶意软件被安装后将自动设置网络代理,然后在系统里安装自签名的数字证书,接着开始劫持用户的网络流量。
由于安装自签名的数字证书且已经获得浏览器信任,因此当用户访问某些站点被劫持浏览器也不会发出任何提示。
比特梵德认为该恶意软件的主要目的是用于盗取游戏玩家的账号和虚拟资产,针对的也是部分热门网络游戏玩家。
为避免自身被清除,该恶意软件还会通过各种策略进行保护,例如阻止用户修改注册表或安装其他类似恶意软件。
WHQL即微软硬件实验室专用的数字签名 , 通常这是微软为硬件设备制造商们检查驱动兼容性后提供的数字签名。
也正是如此此类签名应该有非常严格的审核流程,因为此类驱动程序相较其他带签名的软件拥有更高的系统权限。
如果恶意软件获得这类签名自然危害也会更高,问题在于攻击者是通过怎样的方式欺骗微软并且成功获得签名的。
在比特梵德通报后微软已经撤销该恶意软件的签名,但截止至本文发布时微软尚未发布公告对此次事件进行说明。