}B��ff,q� ��zj%cQkZ� 1S%}xs
R�0 \+Y!IL��OI 证书是病毒作者的宝贵资源,因为它们的存在可以减少早期恶意软件检测的可能性。传播恶意软件是一种商业模式,确保恶意软件可以躲避杀毒扫描。这意味着他们必须获得证书 并保证能长期使用。
m;/�i<:�`� H?U't
09�� \!H{Ks{#R. 数字证书允许其所有者在一个进程中对信息进行数字签名,该进程使用其身份标记内容并保护其免受篡改。虽然这两个签名属性都很重要,但信息来源背后的身份是用作可信度的关键度量的身份。这就是为什么威胁方如此专注于冒充可信任方。
&qRJceT��( tt4+�m�>/T ^\wl���2�� 证书颁发机构作为数字证书颁发者,是这种信任系统的守门人。它们代表了一种机制,可以保证签名背后的身份得到验证。因此,至关重要的是,他们为检查身份而实施的流程能够抵御潜在的滥用 - 说起来容易做起来难。
;&?pd"^<_Z >n!�ni�(�� �Nl�*i5 io 就像证书本身一样,并非所有身份检查都是一样的。为颁发证书而执行的检查的差异决定了可以放在证书中的整体信任度。在代码签名方面,证书颁发机构颁发两种类型的证书:代码签名和扩展验证证书。
EXp��S��h} k/l�F�Ri-i iZ;��TYcT� 代码签名证书需要对个人和企业进行基本身份检查。请求此类证书的实体通常提供基本身份信息,并通过快速验证过程获取包含证书本身的二进制文件。这些证书的价格从一个证书颁发机构到另一个证书颁发机构各不相同,但它通常是权威机构的可信度及其业务行为跟踪记录的衡量标准。
f=I��:Dk�R R]Q�p�Mj%o $(q8y/,R*- 扩展验证代码签名证书需要对个人和企业进行严格的审查。请求此类证书的实体提供详细的,通常是法律文档风格的身份信息,该信息经过多个验证阶段。审核完成后,证书颁发机构会发出硬件令牌,作为签名过程安全的双因素保证。这些证书的价格也各不相同,但作为一项规则,随着发行过程中涉及到更深入的令牌检查,对代码签名价格有很大的提高。
]}LGbv"`A� N[k�<@Q?*a vv/J 5#^,\ 从客户安全和这两种证书背后的信任的角度来看,扩展验证是迄今为止更好的选择,更加安全。
qY# �d+F,t f�\K#>u*
Q 威胁方一般不会冒充合法实体。虽然被盗的证书得到了很多公众的关注,但恶意软件业务也有一个没人注意的地方 - 被盗身份。有时这两者可能交织在一起。
�2�F?k�jg, `=
"v>qN2\ 以下是成功执行模仿攻击的完整时间表重建,该攻击被用作获取有效数字证书而做的前期铺垫工作。我们还说明了在签名和分发恶意内容时被盗证书的滥用情况。
T�nE+[.�Qu &KqV�N]1+^ �;V�.v�far L2|aHI�1'l U
:lv^�QPG 第1阶段:侦察 �-7�`�-w�u � @F�x�@5e z�[&s�5��" 侦察阶段就是选择正确的模仿目标。在这个阶段,威胁者正在搜寻公开xin息,以寻找可行的候选人。一个在其行业中有建功且便于验证的人物是首选目标。由于目标是获得代码签名证书,完美的受害者是在软件行业工作的人。
_Bk
U+=�|J nyhMnp#��< 此阶段可能需要很长时间,因为在此初始搜索中找到的任何候选人都必须通过其他一堆标准进行审查。只有在确信对方所有信息都足够可信的情况下才能在身份验证过程中欺骗证书颁发机构
z�WI�e�HIt ��*gu8-7�' 阶段2:选择标准 m0(� E k�K �+M�e2U��9 H�DS"F.l5 根据收集的信息,选择以下人员作为可行的模仿目标。以下信息已从其公开的LinkedIn个人资料页面中被删除。 97!5Q�~�I� 
c��> �G�@+
dZ2`{@A�YY 8$�}O�S�-�
#"�:a6�%0Q 英国是我们要动手的理想地点。与其他拥有现代化官liao主yi的法制国家一样,公司注册商及其所有权结构必须支持公共记录查询.任何拥有浏览器的人都可以查找有关公司的注册信息,所有权结构和偿还能力的基本信息。要使身份模仿成功,所选目标必须能够轻松链接到其工作地点。这是证书颁发机构在身份验证过程中肯定会检查的内容。 7�g6�RiH�} 
z�vf3b�!}�
K.�DXJ U�R 公司网站注册详情也随时查询,因为有大量如WHOIS一样的在线服务可以执行查询 8tQ|�-l�*� 
F2�>%K��uM
4}yE+dRUK: L�prM�;Q�_ �`Q%NSU�?� 第3阶段:身份包装 3�jP�B�#%F ]\�;xN~l�� n��Ga1���a ��+d�39f-[ 身份包装的满足 对攻击者而言可能是一项重大努力。对于此特定攻击,我们就从域名注册开始。
�Y}.Yst�em 
PX��EK�V0y x�ncw��YOz *fhX*e�8y 攻击者的目的是使用顶级域名来混淆欺骗,以便在身份验证过程中误导证书颁发机构。我们赌一把 假设审核单位 会认为申请证书的公司 主要拥有.COM和.CO.UK哪一个都行。
P s�#>y�&� ]�T^�i
s�> }��uQ${]&D 这里注册商的选择变得非常重要。自GDPR立法生效以来,大多数欧盟域名注册商都同意WHOIS记录被视为私人和个人身份信息。这使得了解注册域名背后的真实身份受数据发布过程的影响 - 在商标争议或执法请求等合法查询的情况下,才可以查询。这些事情比证书颁发机构身份验证稍微重要一点,但遗憾的是,这使得他们留下了可利用的盲点。
,w�`~K:b. i\p:�#'zk5 为了使事情变得更加可信,威胁者选择对.CO.UK域的所有HTTP请求重定向到目标公司拥有的.COM之一。这些域名之间的唯一区别是,从.CO.UK域名发送的电子邮件不会重定向到其顶级域对应的地址。验证机构发送此类电子邮件 最终都发向 威胁者的邮箱 而不会发到目标公司去
����l�rys3 NWKi
()nA% Ts�z
NlRxc D ,M�@8�h, 阶段4:购买证书 �ULl_\5s�2 ;KcFy@ 6q5 ^:DyT@hQB5 有了前期身份包装,就可以订购新的代码签名证书。对非扩展验证证书的验证较少,并且攻击者已经拥有购买一个所需证书的一切模拟身份。唯一剩下的就是通过证书颁发机构身份验证。对于攻击者选择的证书颁发机构,这是一个简单的三阶段过程。
I
;�j3*lV_ s4t0f_vj
` 0.DQO�;��� 第1步组织验证
?q� X��
s- 不需要提交文书。公司的合法存在使用公司名称或唯一标识号(注册号)在公共政府数据库中检查,或通过经过验证的公共第三方数据库(如GLEIF,Duns&Bradstreet,Hoovers,Companies House GOV.UK(支票))进行检查
�z=�"�L��4 _D-Riu>#�J 第2步域控制验证
�oI��@�9}* DCV通过发送电子邮件来验证你的所有权是最传统方法。认证中心将向您域名的管理联系人发送电子邮件。邮件包含唯一的验证代码和指向认证网站的链接以输入代码。
�m�JM�q{6; J{����~Rxa 第3步回访过程
\ 4gXY$`�@ 对于业务验证,供应商使用自动回访。机器人通过验证号码呼叫您(没有公共公司电话号码,CA可能使用了攻击者在创建帐户时提供的号码)并告诉您验证码。
�P�DC]wZd/ !_^�g8^>2( ��-� ]Y wl 下订单并付款后,只需几天时间即可完成购买。方便的是,选择的证书颁发机构提供许多支付选项,例如Skrill,PayPal和WebMoney。
��(��cs~�@ u!1�/B4!'O Z�.P��i0c+ 攻击者现在拥有向合法公司颁发的代码签名证书。
�V0NV�GR�Q pF�Iecca w sh��6(z?KP b����UvK� tWk�{��1IL 阶段5:测试证书 3k{ @.V�?] ���_^T}_�� -e�*BqH�2t 测试证书是否可以签署可执行文件内容并验证证书链是否可以验证到受信任的根。通常,它是使用代码签名和软件开发工具执行的脱级操作。但是,这个威胁者的签名验证手段略有不同。2019-04-24 06:40:29
GZ3/S|�SMP 威胁者签署一个常见的Windows可执行文件Notepad.exe,并将签名文件上传到公共防病毒扫描服务。上传的文件重命名为Notepad_ [Redacted] .exe。此可执行文件通过COMODO SHA-1时间戳签名者服务进行交叉签名以进行时间戳验证。签名文件中没有恶意代码。
�CW0UMP�E5 MY� F��#A� 2019-04-24 06:40:30
4�v�q�Nule 威胁者签署一个通用安装可执行文件NSIS,并将签名文件上传到公共防病毒扫描服务。上传的文件重命名为Example1_ [Redacted] .exe。此可执行文件通过COMODO SHA-1时间戳签名者服务进行交叉签名以进行时间戳验证。签名文件中没有恶意代码。
se,��Z��#H y��Nv�a1I� 用于对这两个文件进行签名的数字证书的详细信息如下图所示。
(=JueF�@J� 
( u f5�\}x �-
1�����W �?}�s�OG?{ 请注意证书扩展列表中的最后一行。从上面的元数据可以看出,证书购买请求是由攻击者控制的.CO.UK域提出的。
v*r�9j��8� �Z[}
$n-V 0Hcb�kep9D �cy�M�s(21 cU+>|�'f�& 阶段6:出售证书 ��d8�:C3R� E5{�n�?�e� O�5�-;I,)H 数字签名文件的命名方式和上传到公共防病毒扫描服务进行扫描是有原因的。文件扫描记录是向潜在买家展示的价值证明。它证明了证书的所有权及其有效性,以及安全性。2019-04-30 07:07:59
(�,LL[&;: 第一个签名的恶意文件出现在互联网上。该证书用于签署OpenSUpdater,这是一个广告软件应用程序,可以在客户端的计算机上安装不需要的软件。此可执行文件通过Symantec Time Stamping Services签名者服务进行交叉签名以进行时间戳验证。
Y�:pRcO.4g 2019-05-16 11:46:00
F]5\YY�XO 最后签名的恶意文件已被发现。总的来说,证书已用于签署22个可执行文件。并非所有这些都是恶意的,但那些都属于同一个恶意软件系列 - OpenSUpdater。其中一些是使用NSIS制作的安装包。前两个文件之后的所有已签名文件都使用相同的时间戳服务。
O5�;�-O�m� mo9$NGM&} 时间戳服务器的变化是一个重要指标。虽然不要求时间戳验证必须通过颁发证书的证书颁发机构的服务器来完成,但通常应该这样做。实施代码签名的开发人员通常遵循他们首先购买证书的证书颁发机构的建议。通常,说明正确使用证书的文档已经在示例中列出了时间戳服务器。这就是大多数开发人员最终使用预期时间戳服务器的原因。此外,一旦实现了代码签名,它通常会保持原样,直到证书过期。
m2b��`/�JW w3b�Ib�$12 因此,有一个强烈迹象表明该证书已在黑市上销售,并且传播广告软件的组织已经构建了一套自己的用来欺骗证书颁发机构的身份伪装,可以轮流购买数字证书。同样显而易见的是,他们很少关注小细节,例如哪个时间戳服务器适合哪个证书。
.B$h2#i1�� �[g|�H�j)( 虽然认为这是一个偶然事件 该公司是唯一的受害者,但事实并非如此。ReversingLabs收集和分析的数据显示,这种身份盗窃是这种威胁者的一种行为模式,并且模仿公司的数量完全相同,有十几种。很明显,这个攻击者(或一个团体)的目的就是为了钱,把冒充并可能被盗的证书供应给黑市。
b�tQ��e�t. 5Y-���2
#� 唯一比使用一次更好的方法就是尽可能多地使用它。构建一个可信赖的身份伪装很难。当它起效时,只使用一次将是一种浪费。当你可以出售许多证书时,为什么只在黑市上出售一张证书?
}�ywi"k4�> h�T�TfJDF� 向大量证书颁发机构同时申请是这个威胁者采用的另一种策略。使用相同的模拟身份,伪装者会尝试从尽可能多的证书颁发机构购买尽可能多的证书。这些通常会连续发布,因为攻击者希望获得最佳的为伪装身份所投资的回报。虽然证书颁发机构可以做更多的事情来验证身份,但这次攻击背后的成功只能归功于这个威胁者使这次请求看起来如此可信任。对常规代码签名证书执行的身份验证检查不如扩展验证证书那样严格。对于后者,证书颁发机构执行更详细的检查,并最终通过post发送硬件令牌。签名期间必须使用该令牌。
G�(\C�kf:� ReversingLabs对威胁者向多家证书颁发机构同时提出申请的研究也发现了他们居然还有扩展验证证书。这意味着这帮人不惜血本 不光砸钱伪装域名等信息 还在现实世界投资开公司。由于扩展的验证证书更昂贵且更难以获得,因此人们可以想象这对攻击者有多大利润。扩展验证证书对广告软件传播组非常有价值。使用此类证书签名的文件绕过Microsoft SmartScreen保护,并允许执行已签名的程序,而不会发出有关可能的不安全文件来源的警告。这意味着将不会显示以下Windows对话框,该对话框可以阻止安装不需要的应用程序。
s.y}U5Ty?P 
g�1qi\axm \!w�h[qEQ\ $l"MXx�x5I x�F8 �:^�' 转发自:原文地址 DH�zkRCM�� �Zh,]��J ` k�f�CKhx � 与Microsoft SmartScreen的即时信任是一个关键卖点,多个证书颁发机构使用它来证明购买扩展验证证书而不是常规代码签名证书的安全性。虽然攻击者很难获得一个,但实际上仍然可以欺骗。
_?b;0{93u� !$�r9�C�/k 证书是构建可信任环境中非常重要的一部分。研究它们的使用和滥用是保持其相关性的唯一途径。
v3^t/�[e~: �f)�^t'�)� 已签名的可执行文件(列出部分SHA256哈希以保护公司标识):
:t�>Q:mX(N 27a78fe26dcd417287ca33e8418d735c ...
U�;gp)=JNT 56d7a98bea20d77be8e47d58d5781b60 ...
+/q��0Y`�v abc513e2de71d7289066bd38b4138ce1 ...
76cE�KH�a< 96850d836677b55658320a7042e2f847 ...
-eL'K�O5' 388a5bcc6c0cd0b083ff0923b83debde ...
�mV zu~xym 0d1eb17bceac7d78ee3e3f2163f93dd5 ...
*<�k�&#D"m 4eccc15440532019e56ed7d772a2dc34 ...
i��fr���q� 1b039c8cef3dd741b9bc8d9702bf90bd ...
a�#�QB�y�P 81cf8cd3773f3d23f51897dbfc57d0b9 ...
('d{t:Ts�Y 1f54a2e8577ffff6b7228b524412fbda ...
%#9P?COs&W 105a6356f3d8d86611d56862f5b87dee ...
h,]�+��>`b 1daf0f102954cc0a10778e3cc24256ba ...
if�@,��vc� a7e573fec0b0b4c0e7d73859303ebc20 ...
{!�t=n���� aab56d071ff05117c7f36f5cc9f0a0d0 ...
g7Z9��F[d
eeb603a0b3ce0d29ba3ee79e494070f2 ...
N
�D*�]g�M 814b15d282f44f08aabdf15ad28481f6 ...
W��p��4K6x a1ae46a87a1f9cd3e1feb5bc4c2880e7 ...
�oD�,C<[(p 69dfc4062adee03ebde881de42695f24。 ..
\`gE���u{� aa2e10c73de1afb70b875c0d2d578d52 ...
�mJ$�Ht�yr b52beeb98f5ee65103cd36f57bb059a4 ...
i+AUQ0Zbf6 1648e9a7afbc8b057c1f5c4c9f5c143c ...
w� `!LFHK
bb4f529be95b6e7b1c8a19adfb0a1b69 ...
