近期黑客威胁并攻击英伟达的事件,从2022年2月起,就有黑客宣称勒索了英伟达多达1TB的数据,其中包含英伟达重要的设备原理图、驱动程序、工作人员数据等。
直至3月初,事件再次发酵,攻击者窃取员工凭据和专有数据,其中包括英伟达开发人员用于签署驱动程序和可执行文件的两个签名证书,攻击者们正在用被盗的签名证书制造能骗过系统的病毒。
恶意程序伪装成软件
据悉,在黑客泄露的NVIDIA数据中有两个用于签署驱动程序和可执行文件的证书。
黑客可以把恶意程序伪装成NVIDIA开发的软件,比如显卡驱动,从而骗过系统从而侵入用户电脑。在线查毒平台 VirusTotal 显示:安全人员已经注意到黑客已经开始尝试用证书给远程访问木马签名了。
代码签名证书是开发人员在将可执行文件和驱动程序发布给公众之前用来签署它们的东西。对于 Windows 和其他系统用户来说,这是一种更安全的方式来验证原始文件的所有权。微软要求对内核模式驱动程序进行代码签名,否则操作系统将拒绝打开文件。
拿到证书后,黑客就可以把恶意程序伪装成英伟达开发的软件,比如显卡驱动,从而骗过系统。
在线查毒平台VirusTotal显示,黑客已经开始尝试用证书给远程访问木马签名了。
虽然用于签名的证书已经过期,但仍然会对 Windows系统造成风险。因为 Windows系统为了保证向下兼容性,防止系统无法启动,在某些情况下会接受过期证书签发的驱动程序。
如果某些流氓使用来自英伟达的正版代码签署恶意软件,用户的 PC 可能无法在恶意软件解包,对系统造成严重破坏之前拦截它。
无独有偶,近期又有消息传出三星电子也遭黑客组织LAPSU$的攻击,导致大量机密数据外泄,泄露的资料有近 190GB,其中包括生物特征解锁设备算法、部分基础服务源代码、乃至来自高通的机密源代码。
本次英伟达代码签名证书被窃取、冒用的事件,警示我们在代码签名证书颁发后,软件开发商仍需要加强手段保密,保证私钥安全,谨防被窃取冒用;
安全提醒
1、用户们应该怎么预防中毒呢?
虽然微软企业和操作系统安全总监 David Weston 在 Twitter 上给出了对策:以管理员身份配置 Windows Defender 应用程序控制策略,这样就能控制可以加载哪些驱动程序,防止病毒被加载到系统中。
但是对于一般小白用户来说,这个方法略显繁琐不讨好,在面对市面上纷繁复杂的驱动下载,数安时代强烈建议,请用户们近期务必通过正规渠道下载驱动!
2、建议软件开发商保护好代码签名证书
保证私钥安全,谨防被窃取冒用,比如:申请更高级别的ev代码签名证书,采用硬件Key存储证书,保护证书私钥安全;数安时代提供EV代码签名证书,具有普通内核代码签名证书的所有功能;
但不同的是采用更加严格国际标准扩展验证(EV验证),并且有严格的证书私钥保护机制–必须采用 USB Key来保护签名证书的私钥,以防止证书被非法盗用,确保签名证书安全。EV代码签名证书Pro执行国际标准组织、CA/浏览器论坛和微软规范的严格身份验证标准,并被微软指定用于内核代码签名。
3、建议申请多张代码签名证书
为企业多款不同软件程序进行签名,需要紧急吊销问题证书时,不影响其他软件程序的正常使用;数安时代提供微软官方推荐的代码签名证书,列入微软硬件开发人员中心推荐列表,由全球信任顶级根签发,根证书预置在操作系统和浏览器的受信任列表,以及大部分设备和应用程序中,无缝实现签名代码验证和信任。
结语
目前,代码签名证书仍然是防止恶意软件、保护软件开发商身份的有效机制:代码签名机制是基于PKI技术的成熟机制,帮助开发者和最终用户建立安全信任的软件发布环境和使用环境。
代码签名证书是由权威CA机构认证开发者身份后颁发,提供给软件开发者对其开发的软件代码进行数字签名,附上可信身份证明并保护代码完整性,防止软件代码被仿冒或篡改。
用户下载软件时,操作系统或浏览器可通过数字签名验证软件代码来源可信,且没有被非法篡改或植入病毒木马,保护用户不会被病毒、恶意代码和间谍软件所侵害。
较新的操作系统和浏览器都设置较高级别的网络安全策略,要求应用程序、驱动程序和软件程序添加数字签名,Windows用户帐户控制(UAC)会对任何交互式应用程序强制执行数字签名检查。
领取优惠
提交成功!