代码签名证书
根据研究人员的调查发现,目前地下网络犯罪市场买卖代码签名证书的情况越来越频繁了,而这些伪造的代码签名证书可以帮助攻击者让自己的恶意软件绕过安全防护产品的检测。不过大家暂时还不用担心,因为这种伪造的代码签名证书价格比较昂贵,只有少数黑客能够负担得起。
众所周知,如果恶意软件使用了知名公司(信誉评级良好)所颁发的证书来给程序代码进行签名的话,这种恶意软件是目前最难检测到的了。而且长期以来,黑客一直都在不断从证书认证机构(CAs)、合法公司以及相关合作伙伴的网络系统中窃取这类代码签名证书。
绝大多数证书都是通过欺诈活动得来的?
根据一项最新的调查研究显示,大部分的安全研究专家认为,网络犯罪分子所获取到的绝大部分非法证书都是通过欺诈活动获取到的,而并不是通过入侵目标组织网络系统所获取到的。
研究人员Andrei Barysevich在接受Bleeping Computer的采访时表示:“可能很多人都会认为,地下网络犯罪分子主要是通过非法入侵等手段从合法用户哪里窃取代码签名证书的,但实际上根据我们的最新分析结果显示,犯罪分子主要通过网络欺诈的形式来窃取合法组织的信息,并根据特定买家的需求单独用这些信息来伪造代码签名证书。”
代码签名证书的购买
Barysevich表示,目前网络犯罪分子主要通过在线商城的形式来出售伪造的代码签名证书。客户需要在网上下订单,而商城的管理人员则会为买家的伪造App或网站向CA机构申请证书。此时,卖家就需要使用到他们从合法公司或网站那里窃取来的凭证信息了。
但值得一提的是,这些受影响的合法组织或企业其实并不知道自己的证书信息已经被盗,因此他们就更不会知道自己已经涉及到网络犯罪活动之中了。研究还表明,网络犯罪分子最喜欢的就是Comodo、Thawte和赛门铁克这种高信用评级的公司所颁发的证书了。
证书制作成功之后,卖家会把证书交付给买家,接下来攻击者就可以利用这些购买来的证书加密自己的恶意HTTPS流量或对恶意软件进行签名,而这样就可以让他们的恶意软件看起来跟合法应用一样了,并成功绕过检测。
出售代码签名证书的暗网商城从2015年就已经出现了
其实这么多年以来,安全研究人员一直都在提醒广大用户,网络犯罪分子会使用伪造的代码签名证书来隐藏他们的活动痕迹。但是到目前为止,也并没有多少安全组织对这些地下网络犯罪服务进行过彻底的调查和研究。
实际上,早在2011年就已经有攻击者在使用伪造的代码签名证书了,但是直到2015年地下网络犯罪市场中才出现了伪造签名证书的交易商城。当时总共有四家专门出售伪造代码签名证书的商城,但现在已经有两家关闭了,而另外两家目前仍然处于活跃状态,并继续给俄罗斯黑客提供代码签名证书服务。这些代码签名证书的价格从$299到$1799美元不等,信用评级越高,那签名证书的价格也就会越高。
比如说,Comodo所颁发的标准代码签名证书价格为295美金,而买家所感兴趣的信用评级最高的是由赛门铁克颁发的EV证书,这种证书的价格则高达1599美金,其价格与普通的认证证书高出了230个百分点。对于那些需要批量购买代码签名证书的买家来来说,可以花1799美金直接购买带有EV SSL加密的认证域名外加代码签名证书。
下图显示的是其中一家供应商提供的价格列表:
虽然现在很多攻击者都有“绕过反病毒工具”的需求,但是这种利用伪造代码证书来实现AV产品绕过的方法还不算非常流行,因为伪造证书的制作成本非常高,所以我们并不认为伪造的代码签名证书会成为一种主流的网络犯罪。话虽如此,但我们仍然要保持警惕,因为很多复杂的攻击者或国家级黑客还将会继续使用伪造的代码签名证书或SSL证书来进行他们的黑客活动。