一项新的分析着重指出了由证书颁发机构签发恶意软件的泛滥,和基于信任的安全问题。
Chronicle(Alphabet的子公司,是一家网络安全公司)的研究人员发布了一份分析报告,关于无管制环境下利用已签名的恶意软件趋势的调查分析。
对代码加密地签名的过程是为了让Windows操作系统能够区分安全代码和恶意代码。证书由受信任的证书颁发机构(CA)签署/签发,并由受信任的根CA支持。签名Windows可执行文件的目的是为了对发布在Internet上代码的真实可靠性进行认证。
问题是,受信任的系统,正在被网络罪犯利用。
恶意软件发布者通过经销商或直接购买证书。CA可以撤销被认为不可信的证书(许多确实是不可信的),这仍被认为是减少滥用的唯一方法,但它没法阻止恶意软件拥有可信的证书。
为了特别强调这一趋势的泛滥程度和基于信任的安全问题,Chronicle的研究人员通过一种在线病毒/恶意软件扫描器, VirusTotal,分析系统杀毒工具可能漏掉的可疑文件。他们将此项目限制在Windows PE可执行文件中,过滤掉少于15个聚合检测的样本,并“积极地”过滤掉了灰色软件文件,确定了每个CA负责签名的恶意软件样本的数量。当所有这些都被过滤掉后,研究人员最终得到了3815个恶意软件样本。
Chronicle指出, VirusTotal检测到的已签名恶意软件中,签署了超过100份证书的CA占了78%。有趣的是,对于签名的恶意软件样本数量,CA之间的差异显著。例如,COMODO RSA代码签名CA的样本最多,为1775个,几乎是Thawte SHA256代码签名CA的3.5倍,后者的数量仅次于前者,为509个恶意软件样本。数字从Thawte SHA256代码签名CA开始继续下降;第三个CA签名的恶意软件样本数量为Thawte SHA256代码签名CA的一半。
研究人员报告指出,CAs正在对抗这一趋势。超过20%的恶意软件在Chronicle博客文章发表时被吊销了证书,这表明CAs正在打击恶意软件。
正如Chronicle所指出的,攻击者利用用户的信任已不是什么新鲜事,它一度被认为主要在民族国家攻击者中流行。现在,这一趋势似乎已经成为大多数携有恶意软件的网络罪犯的普遍做法。
代码签名证书使得软件开发者能对其开发的软件代码(包括内核代码)进行数字签名,能确保用户通过互联网下载时能确信此代码没有被非法篡改和来源可信,从而保护了代码的完整性、保护了用户不会被病毒、恶意代码和间谍软件所侵害,当然也就保护了软件开发商的利益,使得软件开发商能安全地快速地通过网络发布软件。如企业或软件开发者需要办理代码签名证书建议到正轨CA机构办理,能大大减少签名错签滥签等等纰漏。
研究翻译于:Dark Reading
领取优惠
提交成功!