什麼是程式碼簽署惡意軟體以及如何避免它?

什麼是程式碼簽署惡意軟體以及如何避免它?

程式碼簽章是一種對軟體使用基於憑證的數位簽章的方法,以便作業系統和使用者可以確定其安全性。只有正確的軟體才能使用其相應的數位簽章。

使用者可以安全地下載和安裝軟體,開發人員可以透過程式碼簽章保護其產品的聲譽。然而,駭客和惡意軟體分發者正在使用該系統透過防毒套件和其他安全程式取得惡意程式碼。那麼什麼是程式碼簽署惡意軟體以及它是如何運作的?

什麼是程式碼簽署惡意軟體?

當軟體經過數位簽章時,表示它具有官方數位簽章。證書頒發機構向軟體頒發證書,以確定軟體合法且可以安全使用。

使用者不必擔心,因為作業系統會檢查憑證並驗證數位簽章。例如,Windows 使用包含所有必要憑證的憑證鏈來確保軟體合法。

憑證鏈包含驗證最終憑證所識別的實體所需的所有憑證。事實上,它由終端憑證、中間CA憑證和鏈中各方信任的根CA憑證組成。鏈中的每個中間 CA 憑證都包含由其上一級 CA 頒發的憑證。根CA為自己頒發憑證。

一旦系統啟動並運行,您就可以信任該軟體、程式碼簽署系統和 CA。惡意軟體是惡意軟體,不受信任,無法存取憑證授權單位或程式碼簽署。

駭客從憑證授權單位竊取憑證

防毒軟體知道惡意軟體是惡意的,因為它會對您的系統產生負面影響。它會觸發警告,用戶報告問題,防毒軟體可以創建惡意軟體簽名來保護使用相同防毒引擎的其他電腦。

然而,如果惡意軟體創建者可以使用官方數位簽章來簽署惡意軟體,則上述過程就不會發生。相反,具有程式碼的惡意軟體可以透過官方途徑進入系統,因為您的防毒軟體和作業系統無法檢測到任何危險的東西。

根據趨勢科技的研究,整個惡意軟體市場的重點是支援程式碼簽章惡意軟體的開發和分發。惡意軟體操作者可以存取用於簽署惡意程式碼的有效憑證。下表顯示了自 2018 年 4 月以來使用程式碼簽章來逃避防毒軟體的惡意軟體數量。

什麼是程式碼簽署惡意軟體以及如何避免它?

趨勢科技的研究還表明,大約 66% 的惡意軟體具有數位簽章。此外,還有一些特定類型的惡意軟體具有多個版本的數位簽名,例如木馬、植入程式和勒索軟體

代碼簽署數位憑證從何而來?

惡意軟體分發者和開發人員有兩種方法來建立程式碼簽署的惡意軟體。他們透過直接取得或冒充合法組織並向 CA 要求憑證來竊取憑證授權單位的憑證。

如您所見,CA 並不是駭客的唯一目標。有權存取合法憑證的分發者可以向惡意軟體開發者和分發者出售受信任的數位簽章憑證。

來自捷克共和國馬薩里克大學和馬裡蘭州網路安全中心的安全研究團隊發現了四個組織向匿名買家出售 Microsoft Authenticode 憑證。一旦惡意軟體開發人員擁有 Microsoft Authenticode 證書,他們就可以透過程式碼簽署和基於證書的保護來簽署任何可能的惡意軟體。

在其他一些情況下,駭客不會竊取證書,而是會滲透軟體建置伺服器。當新的軟體版本發佈時,它將擁有合法的證書,駭客利用這個過程添加惡意程式碼。

程式碼簽署的惡意軟體範例

那麼,程式碼簽署的惡意軟體是什麼樣的呢?以下是此類惡意軟體的三個範例。

  • Stuxnet 惡意軟體:該惡意軟體利用兩個被盜憑證和四個零日漏洞摧毀了伊朗的核子計畫。這些憑證是從 JMicron 和 Realtek 兩家公司竊取的。 Stuxnet 使用竊取的憑證來規避 Windows 的所有驅動程式都需要驗證的新引入要求。
  • 華碩伺服器漏洞: 2018 年 6 月至 11 月期間,駭客入侵了公司用來向用戶推送軟體更新的華碩伺服器。卡巴斯基實驗室的研究表明,大約 50 萬台 Windows 裝置在被發現之前就收到了此惡意更新。在不竊取憑證的情況下,這些駭客會在軟體伺服器分發系統更新之前為其惡意軟體簽署合法的華碩數位憑證。
  • Flame 惡意軟體: Flame 模組惡意軟體的變體,針對中東國家,使用詐騙性簽署的憑證來避免偵測。 Flame 開發人員使用弱加密演算法來偽造程式碼簽署數位證書,使其看起來好像是 Microsoft 簽署的。與具有破壞性的 Stuxnet 不同,Flame 是一種間諜工具,可搜尋 PDF 文件、AutoCAD 檔案、文字檔案和其他類型的重要工業文件。

如何避免程式碼簽署的惡意軟體?

此類惡意軟體使用程式碼簽章來避免被防毒軟體和系統偵測到,因此防範程式碼簽章惡意軟體非常困難。始終更新防毒軟體和系統至關重要,避免點擊未知鏈接,並在點擊鏈接之前仔細檢查鏈接的來源。請參閱文章惡意軟體帶來的風險以及如何避免它


Android 的 One UI 是什麼?

Android 的 One UI 是什麼?

了解 One UI 的功能及其優勢,這是三星針對 Android 系統的客製化介面,旨在提升使用者體驗。

什麼是 Catalyst 控制中心 (CCC.exe)?

什麼是 Catalyst 控制中心 (CCC.exe)?

Catalyst Control Center 是驅動程式隨附的實用程序,可協助 AMD 顯示卡運作。了解 CCC.exe 的功能和重要性,並學習如何處理相關問題。

了解 Telnet 協議

了解 Telnet 協議

Telnet 是一種命令列協議,用於遠端管理伺服器、PC、路由器及其他設備,但存在安全性風險。了解 Telnet 使用和替代方案,提升遠端管理效率。

了解電腦網路中的分貝 (dB)

了解電腦網路中的分貝 (dB)

了解分貝 (dB) 在電腦網路中如何測量訊號強度,並了解其在無線網路中的應用。

您應該使用 VPN 的 13 個理由

您應該使用 VPN 的 13 個理由

虛擬專用網路價格實惠、易於使用,是電腦和智慧型手機設定的重要組成部分。除了防火牆和防毒/反惡意軟體解決方案之外,您還應該安裝 VPN,以便您上網的每一刻都是完全私密的。

什麼是資料損壞?

什麼是資料損壞?

當有人討論保留敏感資料時,您可能會聽到“資料損壞”一詞。那麼什麼是「資料損壞」?如果出現問題,該如何修復檔案?

什麼是程式碼簽署惡意軟體以及如何避免它?

什麼是程式碼簽署惡意軟體以及如何避免它?

程式碼簽章是一種對軟體使用基於憑證的數位簽章的方法,以便作業系統和使用者可以確定其安全性。什麼是程式碼簽署惡意軟體及其運作原理?

了解雲端防火牆

了解雲端防火牆

隨著我們周圍技術的發展,防火牆也需要遷移到雲端以跟上趨勢。這就是雲端防火牆一詞誕生的原因。

什麼是 Mylobot?該惡意軟體如何運作?

什麼是 Mylobot?該惡意軟體如何運作?

2017年,安全研究人員每天偵測到約23,000個惡意軟體樣本,相當於每小時產生約795個惡意軟體。最近,出現了一種新的、非常複雜的惡意軟體,稱為 Mylobot。

什麼是 FAT32、NTFS、exFAT 格式?

什麼是 FAT32、NTFS、exFAT 格式?

NTFS、FAT32、exFAT都是Windows上的檔案系統,但具體什麼是NTFS、什麼是FAT32、什麼是exFAT,它們有什麼異同呢?我們邀請讀者參考這篇文章。