a=+qR:wT h S/oOeG<Y 6Xu8~%i
%+ynrg- 证书是病毒作者的宝贵资源,因为它们的存在可以减少早期恶意软件检测的可能性。传播恶意软件是一种商业模式,确保恶意软件可以躲避杀毒扫描。这意味着他们必须获得证书 并保证能长期使用。
E9!u|&$S w(zlHj prV:Kq ;O 数字证书允许其所有者在一个进程中对信息进行数字签名,该进程使用其身份标记内容并保护其免受篡改。虽然这两个签名属性都很重要,但信息来源背后的身份是用作可信度的关键度量的身份。这就是为什么威胁方如此专注于冒充可信任方。
Pq ZMuUd DDsU6RyN PMe bn$( 证书颁发机构作为数字证书颁发者,是这种信任系统的守门人。它们代表了一种机制,可以保证签名背后的身份得到验证。因此,至关重要的是,他们为检查身份而实施的流程能够抵御潜在的滥用 - 说起来容易做起来难。
mp:%k\cF| a$y=+4L \cP\I5IW:s 就像证书本身一样,并非所有身份检查都是一样的。为颁发证书而执行的检查的差异决定了可以放在证书中的整体信任度。在代码签名方面,证书颁发机构颁发两种类型的证书:代码签名和扩展验证证书。
8%nb1CA :,X,!0pWRp ?6P
P_QY 代码签名证书需要对个人和企业进行基本身份检查。请求此类证书的实体通常提供基本身份信息,并通过快速验证过程获取包含证书本身的二进制文件。这些证书的价格从一个证书颁发机构到另一个证书颁发机构各不相同,但它通常是权威机构的可信度及其业务行为跟踪记录的衡量标准。
KWq7M8mq o$8v8="p V\^3I7F 扩展验证代码签名证书需要对个人和企业进行严格的审查。请求此类证书的实体提供详细的,通常是法律文档风格的身份信息,该信息经过多个验证阶段。审核完成后,证书颁发机构会发出硬件令牌,作为签名过程安全的双因素保证。这些证书的价格也各不相同,但作为一项规则,随着发行过程中涉及到更深入的令牌检查,对代码签名价格有很大的提高。
WLma)L`L !~u;CMR Xt %;]1n 从客户安全和这两种证书背后的信任的角度来看,扩展验证是迄今为止更好的选择,更加安全。
7@NAky( (iXo\y`z 威胁方一般不会冒充合法实体。虽然被盗的证书得到了很多公众的关注,但恶意软件业务也有一个没人注意的地方 - 被盗身份。有时这两者可能交织在一起。
/f@VRME
wws)**]J8 以下是成功执行模仿攻击的完整时间表重建,该攻击被用作获取有效数字证书而做的前期铺垫工作。我们还说明了在签名和分发恶意内容时被盗证书的滥用情况。
^p?O1qTg na,j .H
{ dlsVE~_G HS =qK 第1阶段:侦察 2"*7HS 8M9 &CsT6 &=oW=g 2 侦察阶段就是选择正确的模仿目标。在这个阶段,威胁者正在搜寻公开xin息,以寻找可行的候选人。一个在其行业中有建功且便于验证的人物是首选目标。由于目标是获得代码签名证书,完美的受害者是在软件行业工作的人。
%]S~PKx i/N4uq}'A< 此阶段可能需要很长时间,因为在此初始搜索中找到的任何候选人都必须通过其他一堆标准进行审查。只有在确信对方所有信息都足够可信的情况下才能在身份验证过程中欺骗证书颁发机构
:Y`cgi0vkd S\RjP*H* 阶段2:选择标准 rnz9TmN:*1 +YVnA?r? 9
tvLj5~ 根据收集的信息,选择以下人员作为可行的模仿目标。以下信息已从其公开的LinkedIn个人资料页面中被删除。 B#9rqC ^R',P(@oL
'yu M=Pb 0*o)k6?q3
^tc2?T 英国是我们要动手的理想地点。与其他拥有现代化官liao主yi的法制国家一样,公司注册商及其所有权结构必须支持公共记录查询.任何拥有浏览器的人都可以查找有关公司的注册信息,所有权结构和偿还能力的基本信息。要使身份模仿成功,所选目标必须能够轻松链接到其工作地点。这是证书颁发机构在身份验证过程中肯定会检查的内容。 St}j^i 1bs8fUPB3
Rd7Xs
公司网站注册详情也随时查询,因为有大量如WHOIS一样的在线服务可以执行查询 v<c~
'?YzO !r]elX
?&W1lYY f<bc8Lp E$"( :%'v 第3阶段:身份包装 He^u+N@B ">PpC]Y1 *u^N_y I?nj_ as 身份包装的满足 对攻击者而言可能是一项重大努力。对于此特定攻击,我们就从域名注册开始。
/^v?Q9=Y Ao~ZK[u }<6xZ
y >Ng7q?h
攻击者的目的是使用顶级域名来混淆欺骗,以便在身份验证过程中误导证书颁发机构。我们赌一把 假设审核单位 会认为申请证书的公司 主要拥有.COM和.CO.UK哪一个都行。
a"uO0LOb *&]x-p1m WlVp|s{TYP 这里注册商的选择变得非常重要。自GDPR立法生效以来,大多数欧盟域名注册商都同意WHOIS记录被视为私人和个人身份信息。这使得了解注册域名背后的真实身份受数据发布过程的影响 - 在商标争议或执法请求等合法查询的情况下,才可以查询。这些事情比证书颁发机构身份验证稍微重要一点,但遗憾的是,这使得他们留下了可利用的盲点。
STmn%& k$1ya7-@ 为了使事情变得更加可信,威胁者选择对.CO.UK域的所有HTTP请求重定向到目标公司拥有的.COM之一。这些域名之间的唯一区别是,从.CO.UK域名发送的电子邮件不会重定向到其顶级域对应的地址。验证机构发送此类电子邮件 最终都发向 威胁者的邮箱 而不会发到目标公司去
(jv!q@@2C. 69AgPAv<k g"gh2#!D ZWH?=Bk: 阶段4:购买证书 3#o!K %upnXRzw `oQ)qa_ 有了前期身份包装,就可以订购新的代码签名证书。对非扩展验证证书的验证较少,并且攻击者已经拥有购买一个所需证书的一切模拟身份。唯一剩下的就是通过证书颁发机构身份验证。对于攻击者选择的证书颁发机构,这是一个简单的三阶段过程。
ij&_> ,&[2z! gU1E6V-Jm 第1步组织验证
p
cwkO 不需要提交文书。公司的合法存在使用公司名称或唯一标识号(注册号)在公共政府数据库中检查,或通过经过验证的公共第三方数据库(如GLEIF,Duns&Bradstreet,Hoovers,Companies House GOV.UK(支票))进行检查
jkw:h0hX __<