恶意软件作者迅速采取SHA-2通过偷来的代码签名证书.灰鸽子下载,远程控制软件

admin

恶意软件作者迅速采取SHA-2通过偷来的代码签名证书.灰鸽子下载,远程控制软件
恶意软件保护已经适应了新的Windows限制与SHA-1-based数字证书签署的文件
随着IT行业正在逐步淘汰老化的sha - 1哈希算法不仅仅是网站所有者和软件开发者正在取代他们的数字证书:网络犯罪也紧随其后。
赛门铁克的研究人员最近发现新的Carberp样本。B网上银行木马进行数字签名,而不是一个,而是两个偷来的证书:一个使用sha - 1签名和一个使用SHA-2签名。
“它可以安全地使用证书包含恶意软件作者的猜测,不同算法希望阻挠检测、“赛门铁克的研究人员在一篇博客文章中说。
sha - 1哈希函数的过程中理论上退休,因为它是容易受到攻击,可能导致伪造的数字证书,这只是一个时间问题有人收益的能力。
去年微软改变了其加密库以便Windows 7和更高和Windows服务器将不再信任代码与sha - 1基于证书签署的时间戳晚于1月1日2016年。Windows旗帜的限制仅适用于文件从互联网上获得的,这种情况对于大多数恶意软件。
数字签名恶意软件曾经是很少见,但在过去的几年里这种项目的数量增加了针对操作系统更难non-signed运行文件。
例如,Windows显示用户帐户控制(UAC)为无符号可执行文件安全警告,试图获得管理员权限而苹果的Mac OS X的最新版本只允许应用程序运行,如果他们已经从Mac App Store下载或如果他们已经与开发商签署证书获得苹果。
除了绕过这些限制,网络犯罪也发现有多个数字签名在单个文件可以有其他好处。
自证书用于签名恶意软件通常是偷来的合法组织和袭击者自己买来的,那些盗窃被发现的可能性和证书被吊销他们的合法所有者。有两个签名在单个文件确保即使一个证书被吊销,文件仍将出现信任由于其他签名。
“Carberp的攻击还指出与SHA-2转向使用数字证书,“赛门铁克研究人员说。“虽然从SHA-2可能不是即时sha - 1,因为遗留系统不支持更新的算法,这些攻击表明变化。”
用户不应该允许文件运行仅仅因为他们似乎与一个有效的证书。如何获取文件总是比其标志性更重要,因为这是总是一个合法的开发人员是妥协的可能性和他的代码签名证书被盗。
数字证书已经成为网络罪犯的有价值的目标,重要的是业主的证书保持强大的网络安全实践和确保他们安全地存储。