什麼是程式碼簽署惡意軟體以及如何避免它？

程式碼簽章是一種對軟體使用基於憑證的數位簽章的方法，以便作業系統和使用者可以確定其安全性。只有正確的軟體才能使用其相應的數位簽章。

使用者可以安全地下載和安裝軟體，開發人員可以透過程式碼簽章保護其產品的聲譽。然而，駭客和惡意軟體分發者正在使用該系統透過防毒套件和其他安全程式取得惡意程式碼。那麼什麼是程式碼簽署惡意軟體以及它是如何運作的？

• 徹底移除Windows 10電腦上的惡意軟體（malware）
• 對銀行帳戶來說最危險的 10 種惡意軟體類型
• 了解多型和超多型惡意軟體

什麼是程式碼簽署惡意軟體？

當軟體經過數位簽章時，表示它具有官方數位簽章。證書頒發機構向軟體頒發證書，以確定軟體合法且可以安全使用。

使用者不必擔心，因為作業系統會檢查憑證並驗證數位簽章。例如，Windows 使用包含所有必要憑證的憑證鏈來確保軟體合法。

憑證鏈包含驗證最終憑證所識別的實體所需的所有憑證。事實上，它由終端憑證、中間CA憑證和鏈中各方信任的根CA憑證組成。鏈中的每個中間 CA 憑證都包含由其上一級 CA 頒發的憑證。根CA為自己頒發憑證。

一旦系統啟動並運行，您就可以信任該軟體、程式碼簽署系統和 CA。惡意軟體是惡意軟體，不受信任，無法存取憑證授權單位或程式碼簽署。

駭客從憑證授權單位竊取憑證

防毒軟體知道惡意軟體是惡意的，因為它會對您的系統產生負面影響。它會觸發警告，用戶報告問題，防毒軟體可以創建惡意軟體簽名來保護使用相同防毒引擎的其他電腦。

然而，如果惡意軟體創建者可以使用官方數位簽章來簽署惡意軟體，則上述過程就不會發生。相反，具有程式碼的惡意軟體可以透過官方途徑進入系統，因為您的防毒軟體和作業系統無法檢測到任何危險的東西。

根據趨勢科技的研究，整個惡意軟體市場的重點是支援程式碼簽章惡意軟體的開發和分發。惡意軟體操作者可以存取用於簽署惡意程式碼的有效憑證。下表顯示了自 2018 年 4 月以來使用程式碼簽章來逃避防毒軟體的惡意軟體數量。

趨勢科技的研究還表明，大約 66% 的惡意軟體具有數位簽章。此外，還有一些特定類型的惡意軟體具有多個版本的數位簽名，例如木馬、植入程式和勒索軟體。

代碼簽署數位憑證從何而來？

惡意軟體分發者和開發人員有兩種方法來建立程式碼簽署的惡意軟體。他們透過直接取得或冒充合法組織並向 CA 要求憑證來竊取憑證授權單位的憑證。

如您所見，CA 並不是駭客的唯一目標。有權存取合法憑證的分發者可以向惡意軟體開發者和分發者出售受信任的數位簽章憑證。

來自捷克共和國馬薩里克大學和馬裡蘭州網路安全中心的安全研究團隊發現了四個組織向匿名買家出售 Microsoft Authenticode 憑證。一旦惡意軟體開發人員擁有 Microsoft Authenticode 證書，他們就可以透過程式碼簽署和基於證書的保護來簽署任何可能的惡意軟體。

在其他一些情況下，駭客不會竊取證書，而是會滲透軟體建置伺服器。當新的軟體版本發佈時，它將擁有合法的證書，駭客利用這個過程添加惡意程式碼。

程式碼簽署的惡意軟體範例

那麼，程式碼簽署的惡意軟體是什麼樣的呢？以下是此類惡意軟體的三個範例。

• Stuxnet 惡意軟體：該惡意軟體利用兩個被盜憑證和四個零日漏洞摧毀了伊朗的核子計畫。這些憑證是從 JMicron 和 Realtek 兩家公司竊取的。 Stuxnet 使用竊取的憑證來規避 Windows 的所有驅動程式都需要驗證的新引入要求。
• 華碩伺服器漏洞： 2018 年 6 月至 11 月期間，駭客入侵了公司用來向用戶推送軟體更新的華碩伺服器。卡巴斯基實驗室的研究表明，大約 50 萬台 Windows 裝置在被發現之前就收到了此惡意更新。在不竊取憑證的情況下，這些駭客會在軟體伺服器分發系統更新之前為其惡意軟體簽署合法的華碩數位憑證。
• Flame 惡意軟體： Flame 模組惡意軟體的變體，針對中東國家，使用詐騙性簽署的憑證來避免偵測。 Flame 開發人員使用弱加密演算法來偽造程式碼簽署數位證書，使其看起來好像是 Microsoft 簽署的。與具有破壞性的 Stuxnet 不同，Flame 是一種間諜工具，可搜尋 PDF 文件、AutoCAD 檔案、文字檔案和其他類型的重要工業文件。

如何避免程式碼簽署的惡意軟體？

此類惡意軟體使用程式碼簽章來避免被防毒軟體和系統偵測到，因此防範程式碼簽章惡意軟體非常困難。始終更新防毒軟體和系統至關重要，避免點擊未知鏈接，並在點擊鏈接之前仔細檢查鏈接的來源。請參閱文章惡意軟體帶來的風險以及如何避免它。