黑市热卖杀器GovRAT:恶意软件数字签名平台

过去我曾给大家介绍过,为何数字证书对骗子和情报机构如此具有吸引力。其中一个原因就是,合法的数字签名证书可以被用来迷惑杀毒软件。自然而然,数字签名证书在黑市也成为一个珍贵的商品,越来越多的人开始做这个有利可图的生意。

网站建设哪家好,找创新互联建站!专注于网页设计、网站建设、微信开发、微信小程序开发、集团企业网站建设等服务项目。为回馈新老客户创新互联还提供了南关免费建站欢迎大家使用!

渐渐成型的数字签名产业链

几周前,来自IBM安全X-Force的专家观察到,暗网黑市如今提供了专门的证书销售渠道(CaaS)。黑客可以在暗网黑市里,购买来自受信任的证书颁发机构的数字签名证书。

而在过去的几个月里,数字签名证书的销售额大幅增加。这一趋势也证实了情报威胁公司InfoArmor的分析结果。

这个研究引出了一个案例,某黑客曾利用一个叫GovRAT的工具,给恶意软件签署了合法机构颁发的数字证书。

GovRAT数字证书

GovRAT是一个给恶意软件签署数字签名证书的平台,而里面的数字证书最初在Tor网络黑市TheRealDeal上销售。GovRAT世面上售价1.25比特币,但专家观测到,开发人员如今在私下兜售。

GovRAT可以使用Microsoft SignTool、WinTrust、Authenticode技术等,对恶意代码进行数字签名。专家们认为GovRAT的最终买家,大多数是针对政治、外交、军事类等组织的,超过15个国家政府的APT组织。

InfoArmor分析得,那些恶意软件分别签署了不同的数字证书。他们报道称,有七家银行(部分在美国),以及30个国防承包商也被GovRAT签名的恶意软件针对了。据悉,自2014年初,有超过100个组织受到GovRAT签名过的恶意软件攻击。

此外,InfoArmor专家还发现了不少黑市出售的签名过的商品。其中,据CA数字证书级别划分,价格600-900美元不等。我们很容易在其中找到来自Comodo、GoDaddy、Thawte之类的数字签名证书。虽然机构的CA证书是可以撤销重造的,但这类事件不算常见,相关公司的事件响应速度也会非常缓慢。

GovRAT的用途

InfoArmor 的CIO 安德鲁·科马罗夫告诉记者:

“这些开发了恶意软件的黑客买家,大多数都有国家支持。这是很专业的东西,普通的脚本小子和网络罪犯是不需要它的,因为GovRAT通常用于有针对性的隐匿APT攻击。这样的东西出现在黑市,能让牛逼的黑客更加容易发挥,造就出如Stuxnet(震网病毒)带来的效果。然而,这是一个特定的市场,数字证书的数量也有限,所以交易量不会很大。但是就我们统计所得,这类服务的交易量正在显著增长。”

这些伪造的证书通常用于国家资助发起的攻击,如Stuxnet和索尼黑客事件。

投机者通过机构购买合法的数字证书,他们提供了假名字、虚假的软件作者信息、以及编造为何需要证书。他们在取得证书后,会在黑市转手卖给黑客,让黑客得以在短时间内在APT攻击里用上合法签名的恶意软件。

InfoArmor曾报道过certs4you.org网站的案例,这个网站就提供了为恶意软件签名的服务。

小编结语

利用合法的数字签名技术,能绕过一些杀毒软件。像以前FreeBuf报道过的D-LINK路由器,就在固件包里泄露了签名证书,因此用这个法子免杀还是很有市场的。

本文题目:黑市热卖杀器GovRAT:恶意软件数字签名平台
链接分享:http://www.shufengxianlan.com/qtweb/news22/282922.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联