深入了解惡意攻擊中的代碼簽名濫用行為

概述

使用機器學習系統我們分析了300萬次軟體下載，涉及成千上萬台連接互聯網的機器，由此提供了三部分組成的系列見解。在本系列的第一部分中，我們仔細研究了不受歡迎的軟體下載以及它們對組織造成的風險。我們還簡要提到了關於代碼簽名濫用的問題，在這篇文章中將詳細闡述。

代碼簽名是一種加密簽名軟體的做法，旨在為操作系統（如Windows）提供一種有效且精確的方法來區分合法應用程序（如Microsoft Office的安裝程序）和惡意軟體。所有現代操作系統和瀏覽器均通過證書鏈自動驗證簽名。

有效證書由可信證書頒發機構（CA）頒發或簽署，由父CA進行備份。這個機制完全而嚴格的依賴於信任的概念。我們認為惡意軟體運營者（根據定義）是不可信的實體。據說，這些不可信實體無法訪問有效的證書。但是，分析表明情況並非如此。

整個市場均支持惡意攻擊者的操作，這些人員可以訪問有效的證書，然後用於簽署惡意軟體。在分析中，我們觀察到大量由可信機構簽名的惡意軟體——繞過了最新操作系統和瀏覽器中構建的所有客戶端驗證機制。

表1. 已簽名的良性，未知和惡意軟體的百分比

從表1可以看出，更多的惡意軟體表現比合法或良性應用（66％和30.7％）要好。對於通過瀏覽器等直接鏈接提供的惡意軟體也是如此（81％與32.1％）。這表明網路犯罪分子通常會提供正確簽名的軟體，因此可以運行並繞過代碼簽名驗證。

表1提供了惡意軟體類型的細分情況，該分布表明惡意軟體運營者傾向於投入更多精力來簽名在目標機器上首先執行的惡意軟體（如本系列第一部分強調的釋放器和廣告軟體），而不是更積極類型的惡意軟體（運行在已經搞定的環境中）。從商業的角度來看，這是有道理的，因為使用有效的代碼簽名是很昂貴的，因此要求網路犯罪分子有策略地使用他們的預算。

表2. 惡意軟體主要簽名商

表3. 良性和惡意軟體的主要簽名商

表3給出了良性應用程序和惡意應用程序的名稱列表，而表2則提供了有關惡意軟體類型的更詳細的視圖。Somoto Ltd.，ISBRInstaller和Somoto Israel等一些簽名商通為不同類型惡意軟體簽名，其他則用於更具體的類型。發現SecureInstall用於dropper，而Benjamin Delpy用於機器人。

儘管仔細審查惡意軟體的主要簽名商至關重要，但我們還必須指出為良性和惡意/惡意軟體均簽名的更嚴重。

圖1.良性和惡意程序通用的簽名者

惡意行動中的代碼簽名濫用

近年來，臭名昭著的代碼簽名濫用案例已被多次報道。

2010年，當發現針對WinCC監控和數據採集（SCADA）系統的StuxNet 使用來自Realtek Semiconductor Corp.的被盜數字簽名來時，引起了媒體的極大關注。Realtek是台灣合法的微晶元全球製造商。當證書被撤銷時，StuxNet開始使用另一家專註於微晶元設計的台灣公司JMicron Technology Corp.的簽名。事後分析表明，網路犯罪分子攻陷這些組織竊取開發證書，包括用於簽署可執行文件的私鑰。

2014年，在索尼影業大規模黑客攻擊事件之後，名為Destover惡意軟體的樣本被發現使用索尼的有效證書籤署。據報道，該惡意軟體被用於針對索尼的攻擊，導致企業和個人數據泄露以及企業PC數據被破壞。

CopyKittens, Suckfly, Turla, Regin是其他眾所周知的惡意系列，它們也成功使用簽名證書進行惡意目的。

驗證證書請求時出現的問題

我們觀察到的一個普遍問題是，CA在不同程度上無法正確驗證他們收到的證書請求。我們不知道這是否是自願的，誰該為此負責。

雖然公鑰基礎設施（PKI）提供三類證書，其中兩類（第2類和第3類）要求實際組織或業務申請證書的擴展驗證過程。但我們遇到了頒發給追蹤為用於惡意軟體分發的網路犯罪組織的證書。

在我們的調查中，我們觀察到涉及這一現象的一些主要CA是Comodo和Certum。在用這些CA頒發的證書籤名的數千個二進位文件中，大約14％（Comodo）和12％（Certum）二進位文件是惡意的。在更廣泛的惡意活動中，這些值高達36％。還有一些情況是Digicert，賽門鐵克和Verisign證書被頒發給後來用於簽署惡意軟體的實體。

欺詐性證書的源頭

欺詐性證書的兩個最常見原因如下：

·竊取證書：從感染惡意軟體導致系統受到危害的合法組織中竊取證書。

·偽造證書：CA向模擬合法組織的網路犯罪分子頒發證書。攻擊者通常使用社會工程技術。

我們來看看實際觀察到的一些情況。俄羅斯最大的金融經紀商之一成為網路犯罪分子為Razy ransomware勒索軟體申請欺詐證書的目標。在我們聯繫該組織後，他們確認沒有請求這樣的證書。

圖2.用於簽署Razy勒索軟體變體的欺詐性證書

在另一個案例中，攻擊者模仿Oracle供應商獲得兩個證書，一個在2014年頒發為Oracle America，Inc.，另一個在2017年頒發為Oracle Industries。背後的網路犯罪分子簽署了間諜軟體、廣告軟體、其他PUP等惡意文件。這些二進位文件被隱藏為合法的Oracle應用程序，其中一個文件是以Java程序命名的。

圖3. 隱藏為Java程序的惡意軟體，使用Oracle America，Inc.的證書進行簽名

我們還發現有惡意文件使用「邯鄲市叢台區立康日用百貨部門」的證書籤名。但是，該證書已被撤銷，可能是因為發行人已採取行動應對可能的數據泄露或盜竊行為。

圖4. 用於惡意軟體的已撤銷證書的例子

分發籤名的惡意軟體的組織

還有一些組織擁有合法的產品，但進一步的檢查揭示了一些不為人知的一面。這些組織處於PUP及其他垃圾軟體（如廣告軟體）的灰色地帶。在某種程度上，他們製作並商業化了合法軟體，例如工具欄、下載器和壓縮軟體，但他們也將PUP嵌入到其「免費版」中。其軟體通過適當CA頒發的證書進行數字簽名。

一些例子：

·Mspspark Interactive Network——開發和銷售娛樂和個人計算軟體的公司

·收件箱——提供免費通訊平台（如電子郵件）的供應商

·Auslogics——用於PC性能改進的供應商廣告軟體（如Booster）

圖5. 成千上萬由看似合法的組織簽署的惡意文件

圖6. 收件箱中不需要的工具欄

圖7. Auslogics廣告頁面

地下市場出售的欺詐性證書

我們在地下市場中發現了廣告，例如Deep Web中的論壇和市場出售偽造證書的廣告。

圖8.擴展驗證（EV）證書在地下市場出售價格為1,600美元

圖9. 出售標準及EV證書的廣告

地下市場欺詐證書的廣告表明，網路犯罪分子認為代碼簽名機制在惡意軟體活動中非常有用。

總結

代碼簽名是防範惡意軟體的一種非常有效的技術，但正如我們的研究所揭示的那樣，它不是萬無一失的，也可以被濫用。除了更新操作系統和實施網路安全解決方案之類的標準預防措施之外，用戶和企業應仔細評估系統中安裝的任何軟體。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！