D-Link數字簽名證書遭竊，反倒成了黑客的「通行證」

數字簽名的出現，曾大大加強了計算機應用使用的安全性，其複雜、獨特的加密方式使得證書成為了軟體的「防偽標誌」，並迅速普及。

但俗話說你有張良計我有過牆梯，近年來出現了一種新的攻擊方式，是通過合法數字證書對惡意軟體進行簽名，並進一步入侵計算機。

日前，安全研究人員發現一款新的惡意軟體，該軟體使用了台灣某科技公司（D-Link）的合法數字證書籤名，並將其偽造成了安全應用。

眾所周知，由受信任證書頒發機構（CA）頒發的數字證書，一般用於對計算機應用程序進行加密簽名，從而使得計算機「信任」該程序，免受防護程序的查殺。即一個官方認證的過程。

然而，一些惡意軟體製造者以及黑客團伙，為了繞過數字證書這一「門檻」，可謂無所不用其極。

最近被發現的就是一種能夠通過認證的惡意軟體。黑客使用受信任軟體供應商處的受損數字簽名證書進行偽造，從而降低了惡意軟體在目標網路設備上被檢測到的可能性。

ESET的安全研究人員近日確認了兩個類型的惡意軟體，一個是遠程控制的後門程序，能夠監控目標用戶並竊取計算機文件；另一個則是從Google、Firefox、IE、outlook等渠道獲取保存的密碼信息的密碼竊取程序。

該惡意軟體的使用者被認為是黑客組織Black Tech，因其數字簽名證書來自台灣的D-Link與Changing Information Technology兩家公司。

研究人員已向兩公司通報了關於惡意軟體的情況，並且兩公司也分別於2018年7月3日和4日撤銷了受損數字證書的簽名權。

然而，儘管簽名被撤銷，但大多數病毒防護軟體都不具備證書有效性檢查的功能，所以黑客仍然可以用原來的證書籤署惡意軟體。

事實上，這並不是第一次出現類似的攻擊事件。早在2003年，伊朗核處理設施受到Stuxnet蠕蟲攻擊的事件便是同樣的方式。

此外，2017年CCleaner黑客事件，是通過下載被感染的軟體代替了原始程序，從而更新了數字簽名證書。可見在使用數字證書方面黑客們早已輕車熟路，防禦措施仍需要不斷進步。

*參考來源：thehackernews，FB小編Karunesh91編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！