偽造代碼簽名證書的發展史

最近Insikt Group對偽造代碼簽名證書的發展史做了一個詳細的調查研究，報告總共有10頁。如果你想了解詳細內容，請點此下載完整的PDF格式的報告，下面我就對本報告做個簡要的介紹。

Insikt Group把偽造代碼簽名證書的發展史分為了5個階段

1.雖然Insikt Group最早是在2011年觀察到的代碼簽名證書被盜的使用情況，但直到2015年，代碼簽名證書才在地下罪犯黑市中廣泛被使用。

2.Insikt Group確定了自2011年以來偽造代碼簽名證書的四家知名供應商，目前只有兩家供應商是向俄語地區提供他們的服務。

3.目前代碼簽名證書最經濟實惠的那個版本售價為299美元，但具有SmartScreen篩選器的綜合擴展驗證(Extended Validation)證書的價格為1599美元。EV SSL證書的域名註冊起始價格為349美元。擴展驗證證書（The Extended Validation certificate），即EV證書，是一種根據一系列特定標準發行的X.509電子證書，屬SSL證書的一種類型。每個證書籤發者會在他們簽發的證書的域中放入一個獨特的對象標識符，每個對象標識符包含了發行者的認證聲明，但EV證書中不能包含通配符。在頒發證書之前，證書發行機構(CA)必須對驗證申請者的身份進行驗證。

4.所有證書都是由知名公司發布的，如Comodo，Thawte和Symantec，並且證明在惡意軟體混淆中非常有效，Insikt Group相信合法的企業並不知道他們的數據被用於非法活動。

5.當合法（合法證書）SSL/TLS流量由惡意植入啟動時，執行深度數據包檢測的網路安全設備就會失效。目前，NetFlow Analyzer就是一款比較高效的流量監控分析軟體，因為基於主機的控制項也可能由於合法的代碼簽名證書而變得無效。NetFlow Analyzer支持多種Flow格式，包括：NetFlow、sFlow、 cflow、J-Flow、FNF、IPFIX、NetStream、 Appflow等，可解析多達100K Flow/秒的大流量數據，是包括思科在內的主流網路設備廠商官方推薦，以及全球眾多用戶讚許的網路流量監控與分析解決方案

報告摘要

在2017年，全球的安全研究人員發現一個趨勢，那就是代碼簽名證書的使用量突然增加，它們被用作惡意載荷傳播過程中的分層混淆技術（layered obfuscation technique ）。 Insikt Group通過調查發現，目前提供代碼簽名證書和域名註冊的供應商，這些應商都附帶SSL證書。

通常我們都認為地下黑市流傳的那些用於惡意活動的安全證書都是從合法所有者哪裡盜竊的，但通過調查，實際情況卻剛好相反。Insikt Group非常確定這些用於惡意活動證書都是黑市的買家為每個攻擊請求專門創建的，且創建時都是盜用了合法的企業身份，這樣在攻擊時被檢測到的可能性就非常小。

偽造代碼簽名證書的發展背景

多年來，安全研究人員已經多次警告用戶，網路犯罪分子很可能使用偽造代碼簽名證書來混淆惡意有效載荷，但這些攻擊從來沒有被安全人員徹底地研究過。

隨著殺毒軟體檢測能力的提高，類似於有效載荷加密等安檢的標準策略已不能適應新的安檢環境了。所以要想在較長時間內按著同一個標準來對可執行文件進行安全防護是不可能的了，必須每天進行更新檢測。面對如此嚴格的安檢策略，網路犯罪分子需要不斷地提高攻擊方法，盡量降低了被檢測到的概率，並開始嘗試二級保護層，這樣使用合法頒發的安全證書來對有效載荷文件進行簽名就成了一種比較好的選擇。

雖然早在2011年安全研究人員就已經知道有黑客正在使用假冒證書，但直到2015年，第一波使用假冒證書的攻擊軟體才被大規模使用。

偽造代碼簽名證書的威脅分析

第一批提供偽造代碼簽名證書的供應者是C@T，這是一個多產的個人黑客。2015年3月，C@T提供了一個Microsoft Authenticode，它可以對各種可執行文件的32/64位版本以及Microsoft Office，Microsoft VBA，Netscape Object Signing和Marimba Channel Signing文檔進行簽名，並支持Silverlight 4應用程序。此外，它還能支持Apple代碼簽名證書。

C@T在他的個人介紹中是這樣說的：

證書是由合法公司註冊並由Comodo，Thawte和賽門鐵克發行的，這些都是規模最大、最受尊敬的發行方。

另外，C@T表示每個證書都是唯一的，只能分配給單個買家，這可以通過http://HerdProtect.com輕鬆驗證。所以經過簽名文件的有效載荷，安裝成功率相比以前提高了30％到50％，他甚至承認在不到6個月的時間 內銷售了60多個這樣的證書。

由於成本過高，C@T的銷售量並沒有太多，並且未能吸引廣泛的客戶，有時，每張證書的售價高達1000美元，而其它更經濟實惠且可靠的有效載荷混淆方法也同樣可以達到類似的效果。

大約兩年後，也就是2017年，三名新的開發者開始在東歐的地下黑市提供他們的偽造代碼簽名證書服務。雖然其中一名開發者最終轉投了其它的非法行動中，但其餘兩名開發者仍然積極向講俄語的開發者提供這些偽造代碼簽名證書。

其中第二位開發者擅長開發3類證書，但不包括擴展驗證（EV）證書，且價格為600美元。

由Comodo發布的不包含SmartScreen篩選的標準代碼簽名證書價格為295美元，如果買家對賽門鐵克簽發的EV證書版本感興趣那就得支付1599美元，這比真實證書的價格高出230％。對於那些試圖批量購買的用戶來說，經過EV SSL加密和代碼簽名功能的完全認證的域名的一般價格為1799美元。

根據兩位賣家在私下談話中提供的信息，研究人員發現為了保證產品的發行和使用壽命，所有證書都使用真實公司的信息進行註冊。

所以研究人員有理由相信，合法的企業不知道他們的數據被用於這些非法活動。值得注意的是，所有的證書都是為每個買家單獨創建的，平均交貨時間為2到4天。

開發所用的技術分析

兩位開發者都承認，由於Chrome瀏覽器採用了先進的安全性標準，所以與Firefox，Internet Explorer和Safari瀏覽器相比，Chrome客戶端的成功攻擊率要低得多。

Insikt Group成功說服了一個開發者，讓他進行了一次攻擊測試，測試用最近發布的Comodo證書籤署了以前未報告的一個遠程訪問木馬（RAT）的有效載荷可執行文件。儘管Insikt Group事先對測試主題文件進行了加密，但測試結果證明了具有最新代碼簽名版本的強大攻擊性。

雖然只有八家殺毒廠商能成功檢測到經過加密版本的有效載荷，但其中只有兩家對代碼簽名版本進行有效的檢測。如果是對具有有效載荷的non-resident版本進行相同測試的話，會出現更令人不安的結果。在這種情況下，只有六家公司能夠檢測到加密版本，其中只有Endgame發布的一款新的軟體產品才能成功將使用偽造代碼簽名證書的文件識別為惡意文件。

偽造代碼簽名證書的未來發展趨勢

當具有合法證書的SSL/TLS流量由惡意植入啟動時，執行深度數據包檢測的網路安全設備的安檢效率非常低。目前，NetFlow Analyzer就是一款比較高效的流量監控分析軟體，因為基於主機的控制項也可能由於合法的代碼簽名證書而變得無效。

與普通的加密服務不同，目前每次加密的價格為10美元至30美元不等，但由於其攻擊成本過高，Insikt Group不認為偽造代碼簽名證書的攻擊會成為未來網路犯罪的主流。然而，這並不代表使用偽造的代碼簽名和SSL證書造成的危害很小。

本文翻譯自：https://www.recordedfuture.com/code-signing-certificates/如若轉載，請註明原文地址： http://www.4hou.com/web/10460.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：