关注网络安全
和行业未来

Alphabet的Chronicle子公司对无管制环境下代码签名滥用进行了探究

一项新的分析着重指出了由证书颁发机构签名的恶意软件的泛滥,和基于信任的安全问题。

Chronicle(Alphabet的子公司,是一家网络安全公司)的研究人员发布了一份分析报告,关于无管制环境下利用已签名的恶意软件趋势的调查分析。

对代码加密地签名的过程是为了让Windows操作系统能够区分安全代码和恶意代码。证书由受信任的证书颁发机构(CA)签署/签发,并由受信任的根CA支持。签名Windows可执行文件的目的是为了对发布在Internet上代码的真实可靠性进行认证。

问题是,受信任的系统,正在被网络罪犯利用。

恶意软件发布者通过经销商或直接购买证书。CA可以撤销被认为不可信的证书(许多确实是不可信的),这仍被认为是减少滥用的唯一方法,但它没法阻止恶意软件拥有可信的证书。

为了特别强调这一趋势的泛滥程度和基于信任的安全问题,Chronicle的研究人员通过一种在线病毒/恶意软件扫描器, VirusTotal,分析系统杀毒工具可能漏掉的可疑文件。他们将此项目限制在Windows PE可执行文件中,过滤掉少于15个聚合检测的样本,并“积极地”过滤掉了灰色软件文件,确定了每个CA负责签名的恶意软件样本的数量。当所有这些都被过滤掉后,研究人员最终得到了3815个恶意软件样本。

Chronicle指出, VirusTotal检测到的已签名恶意软件中,签署了超过100份证书的CA占了78%。有趣的是,对于签名的恶意软件样本数量,CA之间的差异显著。例如,COMODO RSA代码签名CA的样本最多,为1775个,几乎是Thawte SHA256代码签名CA的3.5倍,后者的数量仅次于前者,为509个恶意软件样本。数字从Thawte SHA256代码签名CA开始继续下降;第三个CA签名的恶意软件样本数量为Thawte SHA256代码签名CA的一半。

研究人员报告指出,CAs正在对抗这一趋势。超过20%的恶意软件在Chronicle博客文章发表时被吊销了证书,这表明CAs正在打击恶意软件。

正如Chronicle所指出的,攻击者利用用户的信任已不是什么新鲜事,它一度被认为主要在民族国家攻击者中流行。现在,这一趋势似乎已经成为大多数携有恶意软件的网络罪犯的普遍做法。

文章来源:Dark Reading

评论 抢沙发