拥有数字签名的高隐匿恶意软件正逐步兴起

论坛 期权论坛 期权     
看雪学院   2019-10-27 05:57   3695   0

[h2]拥有数字签名的高隐匿恶意软件正逐步兴起                  
[/h2]


CSRI(Cyber Security Research Institute)最近的一项调查显示,被窃取的数字签名证书可供任何人在暗网上买卖,售价高达 1,200 美元。

数字证书是可信认证机构(CA)颁发的,一般用于计算机程序的加密签名,包含数字签名的程序会被计算机所信任,因此在执行过程中不会有任何的警告消息。

但是,近年来数字签名正被那些寻求安全防护措施绕过方案的恶意软件开发者和黑客们所滥用。

他们使用从软件供应商那里窃取来的数字证书对恶意程序进行签名,以此减小其在目标企业网络和消费者设备上被检测到的可能性。

03 年针对伊朗核设施的 Stuxnet 蠕虫就使用了合法的数字证书,同时,最近发生的 CCleaner 供应链攻击事件之所以能成功也与签名程序的更新操作有关系。

相较之前来说,现在这种针对数字签名的滥用更加普遍了,来自马里兰大学帕克分校的研究员
Doowon Kim、BumJun Kwon 和 Tudor Dumitras 表示,他们总共捕获了 325 个包含签名的恶意软件样本,其中的
189 个(58.2%)签名是有效的,而剩余的 136 个签名则是伪造的。

“借助伪造的签名来对抗杀软还是有用的,调查发现通过将合法样本的数字签名复制到未签名的恶意样本中有可能会帮助其躲避杀软的检测。” 研究人员解释道。

而捕获的包含有效签名的 189 个恶意样本中一共用到了 111 个 CA 机构颁发的签名证书,这些被窃取的证书原本是用来对正常软件进行签名的。




在写这篇文章的时候,被窃取的证书中已经有 27 个被吊销了,而对使用剩下 84 个未被吊销证书来签名的恶意软件,只要证书还未过期,它们就仍然会被系统所信任。

“很大一部分(88.8%)恶意软件家族都使用同一个证书进行签名,这表明被滥用的证书主要是由恶意软件开发者持有,而非由其他的第三方所控制。” 研究人员补充道。

目前他们也已经在 signedmalware.org 上公布了这些被滥用证书的统计列表。

此外研究人员还表示,即便签名无效,他们也发现至少有 34 款 AV 产品无法对证书的有效性进行正确检查,最终会导致恶意代码在目标机器上运行。

他们在上周举办的 ACM CCS 2017 会议中介绍了他们的发现,更多内容可参考此 Paper。


来源:thehackernews
本文由看雪翻译小组 BDomne 编译





whatsapp 假APP下载量超过100万,谷歌终于将之从Google Play移除
一个虚假whatsApp 在Google play 有过百万的下载量。当前,谷歌已将此应用从Google play移除,并停用该开发者的账户。

Redditor用户在这个周末的时候揭露了这个恶意软件还会给用户下载一个Android apk 文件。

在下载并安装该文件后,该文件本身带有获得接入网络的权限。但其实它就是带有whatsapp.apk代码的广告的压缩包。这个软件没有名字,只有一个空白的icon,人们很难发现。

虽然谷歌已经过滤了很多恶意软件,但这一款恶意软件却逃脱了。因为这个开发者使用了unicode来使这款软件看起来合法。

来源:threatpost
本文由看雪翻译小组 哆啦咪 编译


著名日本动漫网站crunchroll.com 被劫持,散布keylogger

著名日本动漫流媒体服务平台crunchroll.com 被劫持发布恶意软件。发现黑客攻击后,网站运营人员立即在twitter上向用户发出警告:不要访问网站,随后将网站下线。

有一个用户提到:“主页会开始自动下载一个可以的.exe文件。”那是一个假的Crunchyroll的桌面软件版本,携带有一个恶意软件。
Crunchyroll官方认为这是一个DNS劫持,将用户导向一个带有恶意软件的假网站。

过了不久,网站已经重新上线。

安全专家认为,这个恶意软件是一个键盘记录:“有人认为这个恶意软件还会另外安装一些勒索软件,但是我还没有看到。可以肯定的是,C2曾经发送过一些指令。这个恶意软件更像是一个键盘记录器,可以记录下来你所打的任何东西,然后再把这些信息发给攻击者。”

被恶意软件感染的用户可以放心,这个恶意软件很好清除,具体的操作方法如下:
  • 在开始菜单的搜索栏中输入“regedit”,打开Windows Registry Editor。看到regedit.exe 或者Registry Editor,点击就可以开始运行了。
  • Registry Editor打开后,找到HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,然后单击Run 按钮。你就会在右侧的pane中看到一个变量“java”。
  • 右击“Java”,然后选择删除。
  • 这时会弹出对话框,问你是否要删除,选“yes”。
  • 重启电脑,恶意软件就不会重启了。
  • 找到%AppData%文件夹 (通常是在C:\users[user_name]\appdata\roaming),你会看到一个svchost.exe.文件。
  • 右击此文件,并删除。
  • 打开一个安全软件,开始扫描。
  • 如果这个恶意软件确实是一个keylogger,建议更改电脑上的密码。


来源:securityaffairs

本文由看雪翻译小组 哆啦咪 编译




*本文由看雪翻译小组翻译,转载请注明来自看雪论坛
*加入我们:
请将你的看雪ID、手机号、邮箱地址、翻译文章链接发至cherie@kanxue.com
注意:说明您的申请理由
欢迎加入我们!


往期热门内容推荐



更多安全资讯,戳左下角“阅读原文”查看!




分享到 :
0 人收藏
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

积分:55
帖子:11
精华:0
期权论坛 期权论坛
发布
内容

下载期权论坛手机APP