代码签名证书买卖黑市的真实情况是怎样的?

 

虽然买卖代码签名证书供恶意软件通过安全扫描器的地下黑市繁荣发展,但 Recorded Future 发布的一项研究显示,此类证书的价格太高,仅有少数黑客能负担得起。

众所周知,最难被检测到的恶意软件是经著名企业颁发的证书签署的恶意软件。但长期以来,人们认为而且也有理由这么认为:黑客从合法企业或合作伙伴或证书颁发机构本身窃取此类证书。

 

黑客获得多数证书靠欺诈而非黑客技术

研究公布了一个不同于多数安全专家观点的结果。Recorded Future 公司的高阶收集主管 Andrei Barysevich 指出,多数被非法获得的证书是由欺诈而非入侵证书颁发机构网络实现的。

Barysevich 表示,“一般认为流通在地下黑市上的安全证书是从合法所有人那里盗取的。然而,分析显示事实并非如此。我们很确定地证实,伪造证书是黑客为特定买家、按照每个具体要求、仅且通过被盗企业身份进行注册获得的。”

 

如何订购代码签名证书

Barysevich 在报告中指出,犯罪分子通过网店出售证书。买家下订单后,店主从证书颁发机构为虚假 app 或网站获得所需证书。为获得证书,店主使用了合法企业及其员工的被盗身份。

Barysevich 表示,“我们认为合法的企业所有人完全不知道自己的数据曾被用于或者正被用于这些非法活动中。”

研究还显示,犯罪分子经常能成功地从热门的证书颁发机构如 Comodo、Thawte和赛门铁克获得合法的代码签名证书。

获得证书后,卖家将证书交给买家,后者由此加密 HTTPS 流量或签名应用,从而让它们看似来自合法可信来源。

 

代码签名证书网店早在2015年就已存在

首批出售证书的网店出现在2015年。Recorded Future 公司在具体的地下黑客论坛上发现了四家出售证书的组织/个人。虽然其中两家店已不存在,但其它两家还在继续在俄语论坛上出售代码签名证书。

此类代码签名证书的价格范围是299美元至1799美元不等,其中包括证书所能获得的信任级别最高的EV(扩展验证)证书。

然而,虽然这类反病毒逃避工具的市场正在崛起,但在恶意软件开发人员之间并未得到广泛传播。

Barysevich 认为,证书的价格把多数恶意软件作者挡在了门外。因为其它反病毒逃避工具如加密器等仍然能有效发挥作用,而且价格低得多。

Barysevich 指出,“虽然我们并不认为伪造证书会得到大规模使用,但我们认为具有明确目标的复杂攻击者仍将继续在攻击行动中使用虚假的代码签名和 SSL 证书。”那些对隐秘性的要求超过效果要求的威胁者们将继续依靠证书发动攻击,他们并不在乎证书价格的高低。

(完)