黑市热卖杀器GovRAT:恶意软件数字签名平台

华盟原创文章投稿奖励计划

         黑市热卖杀器GovRAT:恶意软件数字签名平台

  渐渐成型的数字签名产业链

  几周前,来自IBM安全X-Force的专家观察到,暗网黑市如今提供了专门的证书销售渠道(CaaS)。黑客可以在暗网黑市里,购买来自受信任的证书颁发机构的数字签名证书。

  而在过去的几个月里,数字签名证书的销售额大幅增加。这一趋势也证实了情报威胁公司InfoArmor的分析结果。

  这个研究引出了一个案例,某黑客曾利用一个叫GovRAT的工具,给恶意软件签署了合法机构颁发的数字证书。

  GovRAT数字证书

  GovRAT是一个给恶意软件签署数字签名证书的平台,而里面的数字证书最初在Tor网络黑市TheRealDeal上销售。GovRAT世面上售价1.25比特币,但专家观测到,开发人员如今在私下兜售。

  黑市热卖杀器GovRAT:恶意软件数字签名平台

  GovRAT可以使用Microsoft SignTool、WinTrust、Authenticode技术等,对恶意代码进行数字签名。专家们认为GovRAT的最终买家,大多数是针对政治、外交、军事类等组织的,超过15个国家政府的APT组织。

  InfoArmor分析得,那些恶意软件分别签署了不同的数字证书。他们报道称,有七家银行(部分在美国),以及30个国防承包商也被GovRAT签名的恶意软件针对了。据悉,自2014年初,有超过100个组织受到GovRAT签名过的恶意软件攻击

  此外,InfoArmor专家还发现了不少黑市出售的签名过的商品。其中,据CA数字证书级别划分,价格600-900美元不等。我们很容易在其中找到来自Comodo、GoDaddy、Thawte之类的数字签名证书。虽然机构的CA证书是可以撤销重造的,但这类事件不算常见,相关公司的事件响应速度也会非常缓慢。

  GovRAT的用途

  InfoArmor 的CIO 安德鲁·科马罗夫告诉记者:

  “这些开发了恶意软件的黑客买家,大多数都有国家支持。这是很专业的东西,普通的脚本小子和网络罪犯是不需要它的,因为GovRAT通常用于有针对性的隐匿APT攻击。这样的东西出现在黑市,能让牛逼的黑客更加容易发挥,造就出如Stuxnet(震网病毒)带来的效果。然而,这是一个特定的市场,数字证书的数量也有限,所以交易量不会很大。但是就我们统计所得,这类服务的交易量正在显著增长。”

  这些伪造的证书通常用于国家资助发起的攻击,如Stuxnet和索尼黑客事件。

  投机者通过机构购买合法的数字证书,他们提供了假名字、虚假的软件作者信息、以及编造为何需要证书。他们在取得证书后,会在黑市转手卖给黑客,让黑客得以在短时间内在APT攻击里用上合法签名的恶意软件。

  InfoArmor曾报道过certs4you.org网站的案例,这个网站就提供了为恶意软件签名的服务。

  利用合法的数字签名技术,能绕过一些杀毒软件。像以前D-LINK路由器,就在固件包里泄露了签名证书,因此用这个法子免杀还是很有市场的。

原文地址:https://hack.77169.com/201511/216063.shtm

本文原创,作者:华盟君,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/html/19997.html

发表评论