面对骇客组织滥用凭证，全景表明已注销并停用

近期ESET资安团队在WeLiveSecurity部落格中，揭露他们在恶意软件样本里，发现2家台湾IT厂商的凭证遭到骇客组织BlackTech冒用，其中一个是由全景软件（Changing Information Technology Inc.）签署。虽然，ESET揭露上述冒用事件之后，全景在11日发出声明稿，表示这个遭到冒用的凭证，全景早在2017年7月4日已经撤销，并未用于他们的软件上。但根据ESET的研究，如今，骇客组织仍持续使用全景遭窃的凭证，来签署恶意软件。我们后续向全景进一步了解，他们表示，将与当时提供程式码签章（Code Sign）的厂商Symantec，进一步厘清凭证外泄的原因。

全景指出，他们在2017年6月向Symantec提出程式码签章凭证申请，付费后，随即透过电子邮件收到副档名为.PFX的凭证金钥档案，由于这样的状况与正常的申请流程不符，因此认为执行的过程潜藏高度风险，随即向Symantec注销，时间是在同年7月4日。

全景表示，一般标准的作业程序上，应该由他们自行产生金钥配对，并以私钥签署公钥与申请者资讯，然后包装为凭证请求档案（PKCS#10），再委由Symantec交给第三方的发证单位（CA），最后，这个发证单位才会核发程式码签章给全景。

基本上，PFX格式档案的内容，含有受到密码保护的私钥、公钥，以及凭证等。全景指出，申请当时，透过了电子邮件寄送.PFX档案，他们认为过程中极有可能遭到拦截，有心人士经暴力破解电子邮件中的附件后，便可以取得其中的私钥，并用来签署应用程序，因而决定撤销。

全景也提出他们凭证撤销记录的截图，这个程式码签章的凭证在2017年6月5日发行（右图），并且在隔月4日注销（左图）。

对于全景发现申请过程出现异常，甚至可能已经被盗取情形时，随即注销凭证的处置方式，我们也询问其他资安厂商，这样的做法是否洽当。其中，ESET表示，在因应上述情形的处理，全景已经进行了妥善的处理，并没有任何问题。

至于当时提供程式码签章凭证的Symantec，该公司首席技术顾问张士龙则表示，他们需要更进一步的资讯，以便进行调查。

不过，Symantec从2010年买下了VeriSign的凭证业务，已于去年8月卖给了DigiCert，对于全景注销凭证遭骇客组织盗用的事件，如今若要进行追查，随着公司业务的变动，难度恐怕也提高了不少。

凭证注销后为何还会遭到滥用？

凭证已经注销后，若是应用程序开发者用来签署，用户执行时这个应用程序时，理论上，便会遭到Windows操作系统拦截，禁止执行。

然而，从这次的事件来看，已经撤销的凭证，为何还是被拿来利用呢？我们也向其他身份验证厂商询问原因，Gemalto台湾区资深技术顾问陈昶旭表示，虽然凭证已经遭到注销，但由于签章格式仍然有效，因此软件开发者还是能够用来签署应用程序。他指出，电脑对于应用程序凭证的验证流程中，包含了2个部分，首先是确认签章的杂凑值比对，证明应用程序并未遭到窜改；再者，则是确认凭证的有效性，其中不只是凭证本身的内容验证，也要与发证单位进行认证。以ESET发现的恶意软件为例，虽然当中使用的凭证在今年6月3日签署，但因为与发证单位的黑名单比对后，所以它的凭证内容中，便出现了已经注销的资讯。

不过，在这样的验证方式中，仍有可乘之机。若是电脑在没有网络而无法与发证单位连线的状态下，而遇到上述骇客组织BlackTech冒用已经撤销的凭证所签署的恶意软件，由于无法与发证单位比对，而可能得以执行。

从这起事件看来，也许全景和Symantec在处理凭证与注销的做法上，都采取了当时最为合适的措施。但即使是如此，已经撤销的凭证为何还是有机会面临到被冒用的情况？该如何防止这样的事件再度上演，避免凭证注销后不会再被利用，成为需要持续关注的问题。