ESET WeLiveSecurity部落格
近期ESET资安团队在WeLiveSecurity部落格中,揭露他们在恶意软件样本里,发现2家台湾IT厂商的凭证遭到骇客组织BlackTech冒用,其中一个是由全景软件(Changing Information Technology Inc.)签署。虽然,ESET揭露上述冒用事件之后,全景在11日发出声明稿,表示这个遭到冒用的凭证,全景早在2017年7月4日已经撤销,并未用于他们的软件上。但根据ESET的研究,如今,骇客组织仍持续使用全景遭窃的凭证,来签署恶意软件。我们后续向全景进一步了解,他们表示,将与当时提供程式码签章(Code Sign)的厂商Symantec,进一步厘清凭证外泄的原因。
全景指出,他们在2017年6月向Symantec提出程式码签章凭证申请,付费后,随即透过电子邮件收到副档名为.PFX的凭证金钥档案,由于这样的状况与正常的申请流程不符,因此认为执行的过程潜藏高度风险,随即向Symantec注销,时间是在同年7月4日。
全景表示,一般标准的作业程序上,应该由他们自行产生金钥配对,并以私钥签署公钥与申请者资讯,然后包装为凭证请求档案(PKCS#10),再委由Symantec交给第三方的发证单位(CA),最后,这个发证单位才会核发程式码签章给全景。
基本上,PFX格式档案的内容,含有受到密码保护的私钥、公钥,以及凭证等。全景指出,申请当时,透过了电子邮件寄送.PFX档案,他们认为过程中极有可能遭到拦截,有心人士经暴力破解电子邮件中的附件后,便可以取得其中的私钥,并用来签署应用程序,因而决定撤销。
全景也提出他们凭证撤销记录的截图,这个程式码签章的凭证在2017年6月5日发行(右图),并且在隔月4日注销(左图)。
对于全景发现申请过程出现异常,甚至可能已经被盗取情形时,随即注销凭证的处置方式,我们也询问其他资安厂商,这样的做法是否洽当。其中,ESET表示,在因应上述情形的处理,全景已经进行了妥善的处理,并没有任何问题。
至于当时提供程式码签章凭证的Symantec,该公司首席技术顾问张士龙则表示,他们需要更进一步的资讯,以便进行调查。
不过,Symantec从2010年买下了VeriSign的凭证业务,已于去年8月卖给了DigiCert,对于全景注销凭证遭骇客组织盗用的事件,如今若要进行追查,随着公司业务的变动,难度恐怕也提高了不少。
凭证注销后为何还会遭到滥用?
凭证已经注销后,若是应用程序开发者用来签署,用户执行时这个应用程序时,理论上,便会遭到Windows操作系统拦截,禁止执行。
然而,从这次的事件来看,已经撤销的凭证,为何还是被拿来利用呢?我们也向其他身份验证厂商询问原因,Gemalto台湾区资深技术顾问陈昶旭表示,虽然凭证已经遭到注销,但由于签章格式仍然有效,因此软件开发者还是能够用来签署应用程序。他指出,电脑对于应用程序凭证的验证流程中,包含了2个部分,首先是确认签章的杂凑值比对,证明应用程序并未遭到窜改;再者,则是确认凭证的有效性,其中不只是凭证本身的内容验证,也要与发证单位进行认证。以ESET发现的恶意软件为例,虽然当中使用的凭证在今年6月3日签署,但因为与发证单位的黑名单比对后,所以它的凭证内容中,便出现了已经注销的资讯。
不过,在这样的验证方式中,仍有可乘之机。若是电脑在没有网络而无法与发证单位连线的状态下,而遇到上述骇客组织BlackTech冒用已经撤销的凭证所签署的恶意软件,由于无法与发证单位比对,而可能得以执行。
从这起事件看来,也许全景和Symantec在处理凭证与注销的做法上,都采取了当时最为合适的措施。但即使是如此,已经撤销的凭证为何还是有机会面临到被冒用的情况?该如何防止这样的事件再度上演,避免凭证注销后不会再被利用,成为需要持续关注的问题。
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09