面对骇客组织滥用凭证,全景表明已注销
2018-07-12 18:41:58 | 来源:ithome | 投稿:米阳 | 编辑:dations

原标题:面对骇客组织滥用凭证,全景表明已注销

近期ESET资安团队在WeLiveSecurity博客中,揭露他们在恶意软件样本里,发现由全景软件(Changing△Information△Technology△Inc.)签署的凭证。虽然,这个遭到冒用的凭证,全景早在2017年7月4日已经撤销,并未用于他...

近期ESET资安团队在WeLiveSecurity博客中,揭露他们在恶意软件样本里,发现由全景软件(Changing△Information△Technology△Inc.)签署的凭证。虽然,这个遭到冒用的凭证,全景早在2017年7月4日已经撤销,并未用于他们的软件上,但如今,骇客组织BlackTech仍持续用来签署恶意软件。全景表示,他们将与当时提供程式码签章(Code△Sign)的厂商Symantec,进一步厘清外泄的原因。

全景指出,他们在2017年6月向Symantec提出程式码签章凭证申请,付费后,随即通过电子邮件收到副档名为.PFX的凭证金钥档案,由于这样的状况与正常的申请流程不符,因此认为执行的过程潜藏高度风险,随即向Symantec注销,时间是在同年7月4日。

全景表示,一般标准的作业程序上,应该由他们自行产生金钥配对,并以私钥签署公钥与申请者资讯,然后包装为凭证请求档案(PKCS#10),再委由Symantec交给第三方的发证单位(CA),最后,这个发证单位才会核发程式码签章给全景。

基本上,PFX格式档案的内容,含有受到密码保护的私钥、公钥,以及凭证等。全景指出,照理上述的申请流程来说,私钥不该由Symantec的人员经手,然而,当时却通过电子邮件寄送.PFX档案,他们也因为过程中极有可能遭到拦截,有心人士经暴力破解电子邮件中的附件后,便可以取得其中的私钥,并用来签署应用程序,而决定撤销。

全景也提出他们凭证撤销记录的截图,这个程式码签章的凭证在2017年6月5日发行(右图),并且在隔月4日注销(左图)。

在本次事件中,全景发现申请过程出现异常,甚至可能已经被盗取情形时,随即注销凭证的处置方式,我们也询问其他资安厂商是否洽当。其中,ESET表示,在因应上述情形的做法上,全景已经进行了妥善的处理,并没有任何问题。

至于当时提供程式码签章凭证的Symantec,他们的首席技术顾问张士龙则表示,他们需要更进一步的资讯,以便进行调查。然而,Symantec收购自VeriSign的凭证业务,已于去年8月卖给了DigiCert,这起注销凭证遭骇客组织盗用的事件,也因公司业务的变动,追查的难度提高不少。

凭证注销后仍有机会遭到滥用

基本上,凭证已经注销后,若是应用程序开发者用来签署,用户执行时这个应用程序时,理论上,便会遭到Windows作业系统拦截,禁止执行。

然而,从这次的事件来看,已经撤销的凭证,为何还是被拿来利用呢?我们也向其他身份验证厂商求证,Gemalto台湾区资深技术顾问陈昶旭表示,虽然凭证已经遭到注销,但由于签章格式仍然有效,因此软件开发者还是能够用来签署应用程序。他指出,电脑对于应用程序凭证的验证流程中,包含了2个部分,首先是确认签章的杂凑值比对,证明应用程序并未遭到窜改;再者,则是确认凭证的有效性,其中不只是凭证本身的内容验证,也要与发证单位进行认证。以ESET发现的恶意软件为例,虽然凭证在今年6月3日签署,但它的凭证内容中,便因为与发证单位的黑名单比对后,出现了已经注销的资讯。

不过,在这样的验证方式中,若是电脑在没有网络而无法与发证单位连线的状态下,上述骇客组织BlackTech冒用已经撤销的凭证,用它来签署的恶意软件,也许能在绕过与发证单位比对的机制下执行。

从这起事件看来,也许全景和Symantec在处理凭证与注销的做法上,都采取了当时最为合适的措施。但即使是如此,已经撤销的凭证还是有机会面临到被冒用的情况,如何防止这样的事件再度上演,避免凭证注销后不会再被利用,成为需要持续关注的问题。

tags:

上一篇  下一篇

相关:

无人侦察机军事机密文件在暗网上出售,Recorded Future:外泄原因是路由器采用预设FTP凭证

暗网上打出的广告。 图片来源: Recorded△Future 专门提供即时威胁情报的Recorded△Future经常借由查访暗网中的交易来揭发骇客行动,上个月却在暗网中发现有人兜售有关MQ-9死神侦察机(MQ-9 Reaper)的军事文件,卖

骇客入侵底特律加油站,一个半小时免费加油,加油站损失600加侖汽油

骇客公然渗透到加油站的自动化系统里,窜改汽油的价格,这像是电影的情节,最近却在美国底特律真实上演。根据底特律当地媒体Fox△2 Detroit的报道,大约在6月23日下午1点时,攻击者锁定一间距离市中心只有15分钟车程

2家台湾IT厂商凭证遭窃,并被Plead后门程式滥用

图片来源: ESET△WeLiveSecurity研究团队 ESET资深研究员Anton△Cherepanov指出,在最近出现恶意软件的样本中,ESET研究团队发现其中包含了由D-Link与全景软件签署的凭证,这2家公司获报后,已经先后撤销他们所签署的

屯门嘉禾 StagE 戏院试业 全景声+4K Laser 登陆 | 香港 UNWIRE.HK 玩生活.乐科技

香港其中一个主要戏院营运商嘉禾院线,“版图”之前一直未扩展至新界西,不过随着该院线以全新品牌“StagE”杀入屯门市广场,并且在早前已经开始试业之后,标志该院线杀入“新西”之余,也正式宣布屯门市中心 10 分钟

以色列骇客公司NSO Group遭前员工盗走手机骇客工具

示意图,与新闻事件无关。 因协助FBI破解iPhone而声名大噪的以色列骇客公司NSO△Group最近指控一位前员工盗走了众多骇客工具的原始码,并在黑市以5,000万美元销售,该名员工已于近日遭以色列警方逮捕。根据以色列新

站长推荐: