TMT观察网_独特视角观察TMT行业

代碼簽名是加密簽名軟件的做法，目的是使操作系統(tǒng)(如Windows)有一種有效和準(zhǔn)確的方法來(lái)區(qū)分合法的應(yīng)用程序(如Microsoft Office的安裝程序)和惡意軟件。所有現(xiàn)代操作系統(tǒng)和瀏覽器都會(huì)通過(guò)證書鏈。

有效證書由受信任的證書頒發(fā)機(jī)構(gòu)(CA)頒發(fā)或簽名，由父CA備份。這一機(jī)制完全和嚴(yán)格地依賴于信托。根據(jù)定義，我們假定惡意軟件操作員是不可信任的實(shí)體。據(jù)推測(cè)，這些不值得信任的實(shí)體無(wú)法訪問(wèn)有效的證書。然而，根據(jù)分析表明，情況并非如此。

有一個(gè)完整的市場(chǎng)支持惡意軟件運(yùn)營(yíng)商的操作，他們已經(jīng)獲得了有效證書的訪問(wèn)權(quán)，然后使用這些證書來(lái)簽署惡意軟件。經(jīng)過(guò)層層分析，觀察到了大量由可信當(dāng)局簽名的惡意軟件繞過(guò)了最近在開(kāi)放源碼軟件和瀏覽器中構(gòu)建的任何客戶端驗(yàn)證機(jī)制。

圖1.簽署的良性、未知和惡意軟件百分比(有類型)

從圖1可以看出，比合法或良性應(yīng)用更多的惡意軟件被簽名(66%比30.7%)。通過(guò)瀏覽器等直接鏈接提供的惡意軟件也是如此(81%對(duì)32.1%)。這表明網(wǎng)絡(luò)罪犯通常提供正確簽名的軟件，因此運(yùn)行和繞過(guò)代碼簽名驗(yàn)證。

由于圖1提供了按惡意軟件類型的細(xì)分，該分發(fā)版建議惡意軟件運(yùn)營(yíng)商傾向于將更多精力用于在目標(biāo)計(jì)算機(jī)上首先執(zhí)行的惡意軟件簽名(如本系列的第一部分所強(qiáng)調(diào)的下拉列表和廣告軟件)，而不是更具有侵略性的惡意軟件類型，這些惡意軟件可能會(huì)在已經(jīng)受到危害的環(huán)境中執(zhí)行。從商業(yè)角度來(lái)看，這是有意義的，因?yàn)樵L問(wèn)有效的代碼簽名是昂貴的，因此要求網(wǎng)絡(luò)罪犯戰(zhàn)略性地使用他們的預(yù)算。

圖2.惡意軟件的主要簽字人

圖3.主要的獨(dú)家簽名者，良性軟件下載

圖4.主要的獨(dú)家簽名者，惡意軟件下載

圖3、4給出了良性應(yīng)用程序和惡意應(yīng)用程序的一般名稱列表，而圖2則提供了關(guān)于惡意軟件類型的更詳細(xì)的視圖。雖然一些簽字人如Somoto Ltd.、ISBRInstaller和Somoto以色列通常被發(fā)現(xiàn)在不同類型的惡意軟件中作為簽字人，而另一些則被發(fā)現(xiàn)用于更具體的類型。SecureInstall被發(fā)現(xiàn)被拋出者使用，Benjamin Delpy被發(fā)現(xiàn)被機(jī)器人所使用。

雖然審查惡意軟件的主要簽署者是至關(guān)重要的，但是也必須指出發(fā)行者更嚴(yán)重的關(guān)切，即簽署良性軟件和不必要的惡意軟件。

圖5.良性應(yīng)用程序和不需要的惡意應(yīng)用程序之間的常見(jiàn)簽名者

注意：對(duì)于良性軟件和不想要的惡意軟件，都存在簽名證書的原因。它們要么被偷，要么在地下被重新出售，或者合法的組織提供善意和可疑的應(yīng)用，比如小狗。

代碼簽名濫用在地下是如何反映的

近年來(lái)，在野外報(bào)道了臭名昭著的代碼簽名濫用事件。

2010年，Stuxnet當(dāng)它被發(fā)現(xiàn)使用被盜的數(shù)字簽名時(shí)，引起了媒體的極大關(guān)注。Realtek半導(dǎo)體公司以WinCC監(jiān)控和數(shù)據(jù)采集為目標(biāo)SCADA)系統(tǒng)。Realtek是一家合法的全球微芯片制造商，總部位于臺(tái)灣。當(dāng)證書被撤銷時(shí)，Stuxnet開(kāi)始使用JMicron技術(shù)公司，另一家專門從事微芯片設(shè)計(jì)的臺(tái)灣公司。死后分析建議網(wǎng)絡(luò)罪犯利用這些組織竊取他們的開(kāi)發(fā)證書，包括用來(lái)簽署可執(zhí)行文件的私鑰。

2014年，在索尼影業(yè)遭到大規(guī)模黑客攻擊后，一場(chǎng)名為“德斯托”的惡意軟件活動(dòng)的樣本被發(fā)現(xiàn)與索尼的有效證書簽署。這個(gè)惡意軟件據(jù)報(bào)針對(duì)索尼的攻擊導(dǎo)致公司和個(gè)人數(shù)據(jù)泄露，并破壞公司PC上的數(shù)據(jù)。

CopyKitten，Suckfly，Turla和Regin其他著名的活動(dòng)也成功地將簽名證書用于惡意目的。

驗(yàn)證證書請(qǐng)求時(shí)的問(wèn)題

觀察到的一個(gè)普遍問(wèn)題是CA在不同程度上無(wú)法正確驗(yàn)證它們接收的證書請(qǐng)求。但并不知道這是否是自愿的，責(zé)任線在哪里終止。

而公鑰基礎(chǔ)設(shè)施(PKI)提供三類證書由于其中兩個(gè)需要對(duì)請(qǐng)求證書的實(shí)際組織或業(yè)務(wù)進(jìn)行擴(kuò)展的驗(yàn)證過(guò)程，還遇到了發(fā)給易于追蹤網(wǎng)絡(luò)犯罪(如惡意軟件分發(fā))的組織的證書。

在經(jīng)過(guò)調(diào)查中，發(fā)現(xiàn)觀察到與這一現(xiàn)象有關(guān)的一些主要的CA是COMODO和CELTON。在使用這些CA頒發(fā)的證書簽名的數(shù)千個(gè)二進(jìn)制文件中，大約14%(COMODO)和12%(CELOM)的二進(jìn)制文件是惡意的。在大規(guī)模惡意軟件運(yùn)動(dòng)期間，這些數(shù)值超過(guò)了36%。還有幾個(gè)案例，Digicert、Symantec和VeriSignal證書被頒發(fā)給后來(lái)使用它們簽署惡意軟件的實(shí)體。

偽造證書的來(lái)源

欺詐證書的兩個(gè)最常見(jiàn)原因如下：

1.偷來(lái)的證書：證書是從合法組織竊取的，在那里，惡意軟件感染造成了系統(tǒng)危害。

2.偽造證書：CA向模仿合法組織的網(wǎng)絡(luò)罪犯頒發(fā)證書。社會(huì)工程技術(shù)通常由攻擊者使用。

看一下在野外觀察到的一些情況。俄羅斯最大的金融經(jīng)紀(jì)商之一成為網(wǎng)絡(luò)犯罪分子的目標(biāo)。Razy洗劫器。經(jīng)過(guò)了一系列的聯(lián)系了解后他們證實(shí)他們沒(méi)有要求這樣的證書。

圖6.用于簽署Razy Ransomware變體的欺詐性證書

在另一種情況下，攻擊者模仿Oracle供應(yīng)商獲取兩個(gè)證書，其中一個(gè)證書是作為甲骨文美國(guó)公司2014年，另一份作為“甲骨文產(chǎn)業(yè)”2017年。這些操作背后的網(wǎng)絡(luò)罪犯簽署惡意文件，如間諜軟件，廣告軟件，不想要的瀏覽器工具欄和其他小狗。這些二進(jìn)制文件被隱藏為合法的Oracle應(yīng)用程序。其中一個(gè)文件是以Java程序命名的。

圖7.惡意軟件隱藏為Java應(yīng)用程序，與Oracle America，Inc.的證書簽署

還發(fā)現(xiàn)了用證書簽名的惡意文件。邯鄲市從臺(tái)區(qū)立康日用品部。然而，證書已經(jīng)被撤銷，可能是因?yàn)楹灠l(fā)人對(duì)可能發(fā)生的數(shù)據(jù)泄露或盜竊采取了行動(dòng)。

圖8.被撤銷的證書的示例，據(jù)稱該證書用于惡意軟件

分發(fā)已簽名的惡意軟件的組織

也有一些組織擁有合法的產(chǎn)品，但進(jìn)一步的審查發(fā)現(xiàn)了它們的其他一些方面。在某種程度上，這些組織似乎處于PUP和其他不受歡迎的軟件(如廣告軟件)的灰色地帶。布朗福克斯。在一定程度上，他們生產(chǎn)和商業(yè)化合法的軟件，如工具欄，下載，和檔案，但他們也發(fā)現(xiàn)嵌入在他們的“免費(fèi)版”版本。他們的軟件由適當(dāng)?shù)腃A簽發(fā)的證書進(jìn)行數(shù)字簽名。

一些例子：

1.思維火花互動(dòng)網(wǎng)絡(luò)公司是一家開(kāi)發(fā)和銷售娛樂(lè)和個(gè)人計(jì)算軟件的公司。

2.收件箱-提供電子郵件等免費(fèi)通訊平臺(tái)的供應(yīng)商

3.Auslogics-一種用于提高個(gè)人電腦性能的供應(yīng)商廣告軟件(如Booster)

圖9.由看似合法的組織簽名的數(shù)千個(gè)惡意文件

圖10.收件箱中不需要的工具欄示例

圖11.澳氏廣告頁(yè)

地下銷售的偽造證書

我們?cè)诘叵掳l(fā)現(xiàn)了一些廣告，比如在論壇和網(wǎng)絡(luò)市場(chǎng)上的廣告，這些廣告出售偽造的證書。

圖12.在地下以1600美元出售的擴(kuò)展驗(yàn)證(EV)證書樣本

圖13.廣告銷售標(biāo)準(zhǔn)及電動(dòng)汽車證書

地下偽造證書的廣告表明，網(wǎng)絡(luò)犯罪分子看到了代碼簽名機(jī)制在惡意軟件活動(dòng)中是多么有用。

區(qū)塊鏈安全實(shí)驗(yàn)室WF曲速未來(lái)提醒：代碼簽名是一種非常有效的防范惡意軟件的技術(shù)，但正如上面的研究所揭示的，它不是萬(wàn)無(wú)一失的，而且可以被濫用。用戶和企業(yè)應(yīng)該仔細(xì)評(píng)估在他們的系統(tǒng)上安裝的任何軟件，以及標(biāo)準(zhǔn)的預(yù)防措施，比如更新操作系統(tǒng)和實(shí)現(xiàn)網(wǎng)絡(luò)安全解決方案。

惡意軟件檢測(cè)系統(tǒng)需要有標(biāo)簽的文件才能保護(hù)互聯(lián)網(wǎng)連接的機(jī)器免受感染。然而，來(lái)自不受歡迎的網(wǎng)站的大量軟件文件仍未貼上標(biāo)簽，仍然存在未知或未定義的威脅。我們對(duì)濫用代碼簽名的研究是通過(guò)使用機(jī)器學(xué)習(xí)技術(shù)來(lái)分析文件的分類系統(tǒng)來(lái)實(shí)現(xiàn)的。