freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

黑市热卖杀器GovRAT:恶意软件数字签名平台 金币
2015-11-06 05:30:47

过去我曾给大家介绍过,为何数字证书对骗子和情报机构如此具有吸引力。其中一个原因就是,合法的数字签名证书可以被用来迷惑杀毒软件。自然而然,数字签名证书在黑市也成为一个珍贵的商品,越来越多的人开始做这个有利可图的生意。

渐渐成型的数字签名产业链

几周前,来自IBM安全X-Force的专家观察到,暗网黑市如今提供了专门的证书销售渠道(CaaS)。黑客可以在暗网黑市里,购买来自受信任的证书颁发机构的数字签名证书。

而在过去的几个月里,数字签名证书的销售额大幅增加。这一趋势也证实了情报威胁公司InfoArmor的分析结果。

这个研究引出了一个案例,某黑客曾利用一个叫GovRAT的工具,给恶意软件签署了合法机构颁发的数字证书。

GovRAT数字证书

GovRAT是一个给恶意软件签署数字签名证书的平台,而里面的数字证书最初在Tor网络黑市TheRealDeal上销售。GovRAT世面上售价1.25比特币,但专家观测到,开发人员如今在私下兜售。

GovRAT可以使用Microsoft SignTool、WinTrust、Authenticode技术等,对恶意代码进行数字签名。专家们认为GovRAT的最终买家,大多数是针对政治、外交、军事类等组织的,超过15个国家政府的APT组织。

InfoArmor分析得,那些恶意软件分别签署了不同的数字证书。他们报道称,有七家银行(部分在美国),以及30个国防承包商也被GovRAT签名的恶意软件针对了。据悉,自2014年初,有超过100个组织受到GovRAT签名过的恶意软件攻击。

此外,InfoArmor专家还发现了不少黑市出售的签名过的商品。其中,据CA数字证书级别划分,价格600-900美元不等。我们很容易在其中找到来自Comodo、GoDaddy、Thawte之类的数字签名证书。虽然机构的CA证书是可以撤销重造的,但这类事件不算常见,相关公司的事件响应速度也会非常缓慢。

GovRAT的用途

InfoArmor 的CIO 安德鲁·科马罗夫告诉记者:

“这些开发了恶意软件的黑客买家,大多数都有国家支持。这是很专业的东西,普通的脚本小子和网络罪犯是不需要它的,因为GovRAT通常用于有针对性的隐匿APT攻击。这样的东西出现在黑市,能让牛逼的黑客更加容易发挥,造就出如Stuxnet(震网病毒)带来的效果。然而,这是一个特定的市场,数字证书的数量也有限,所以交易量不会很大。但是就我们统计所得,这类服务的交易量正在显著增长。”

这些伪造的证书通常用于国家资助发起的攻击,如Stuxnet和索尼黑客事件。

投机者通过机构购买合法的数字证书,他们提供了假名字、虚假的软件作者信息、以及编造为何需要证书。他们在取得证书后,会在黑市转手卖给黑客,让黑客得以在短时间内在APT攻击里用上合法签名的恶意软件。

InfoArmor曾报道过certs4you.org网站的案例,这个网站就提供了为恶意软件签名的服务。

小编结语

利用合法的数字签名技术,能绕过一些杀毒软件。像以前FreeBuf报道过的D-LINK路由器,就在固件包里泄露了签名证书,因此用这个法子免杀还是很有市场的。

*参考来源:SA,编译/dawner,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

本文作者:, 转载请注明来自FreeBuf.COM

# 恶意软件 # GovRAT # 数字签名
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑