過去我曾給大家介紹過，為何數(shù)字證書對騙子和情報機(jī)構(gòu)如此具有吸引力。其中一個原因就是，合法的數(shù)字簽名證書可以被用來迷惑殺毒軟件。自然而然，數(shù)字簽名證書在黑市也成為一個珍貴的商品，越來越多的人開始做這個有利可圖的生意。

漸漸成型的數(shù)字簽名產(chǎn)業(yè)鏈

幾周前，來自IBM安全X-Force的專家觀察到，暗網(wǎng)黑市如今提供了專門的證書銷售渠道(CaaS)。黑客可以在暗網(wǎng)黑市里，購買來自受信任的證書頒發(fā)機(jī)構(gòu)的數(shù)字簽名證書。

而在過去的幾個月里，數(shù)字簽名證書的銷售額大幅增加。這一趨勢也證實了情報威脅公司InfoArmor的分析結(jié)果。

這個研究引出了一個案例，某黑客曾利用一個叫GovRAT的工具，給惡意軟件簽署了合法機(jī)構(gòu)頒發(fā)的數(shù)字證書。

GovRAT數(shù)字證書

GovRAT是一個給惡意軟件簽署數(shù)字簽名證書的平臺，而里面的數(shù)字證書最初在Tor網(wǎng)絡(luò)黑市TheRealDeal上銷售。GovRAT世面上售價1.25比特幣，但專家觀測到，開發(fā)人員如今在私下兜售。

GovRAT可以使用Microsoft SignTool、WinTrust、Authenticode技術(shù)等，對惡意代碼進(jìn)行數(shù)字簽名。專家們認(rèn)為GovRAT的最終買家，大多數(shù)是針對政治、外交、軍事類等組織的，超過15個國家政府的APT組織。

InfoArmor分析得，那些惡意軟件分別簽署了不同的數(shù)字證書。他們報道稱，有七家銀行(部分在美國)，以及30個國防承包商也被GovRAT簽名的惡意軟件針對了。據(jù)悉，自2014年初，有超過100個組織受到GovRAT簽名過的惡意軟件攻擊。

此外，InfoArmor專家還發(fā)現(xiàn)了不少黑市出售的簽名過的商品。其中，據(jù)CA數(shù)字證書級別劃分，價格600-900美元不等。我們很容易在其中找到來自Comodo、GoDaddy、Thawte之類的數(shù)字簽名證書。雖然機(jī)構(gòu)的CA證書是可以撤銷重造的，但這類事件不算常見，相關(guān)公司的事件響應(yīng)速度也會非常緩慢。

GovRAT的用途

InfoArmor 的CIO 安德魯·科馬羅夫告訴記者：

“這些開發(fā)了惡意軟件的黑客買家，大多數(shù)都有國家支持。這是很專業(yè)的東西，普通的腳本小子和網(wǎng)絡(luò)罪犯是不需要它的，因為GovRAT通常用于有針對性的隱匿APT攻擊。這樣的東西出現(xiàn)在黑市，能讓牛逼的黑客更加容易發(fā)揮，造就出如Stuxnet(震網(wǎng)病毒)帶來的效果。然而，這是一個特定的市場，數(shù)字證書的數(shù)量也有限，所以交易量不會很大。但是就我們統(tǒng)計所得，這類服務(wù)的交易量正在顯著增長。”

這些偽造的證書通常用于國家資助發(fā)起的攻擊，如Stuxnet和索尼黑客事件。

投機(jī)者通過機(jī)構(gòu)購買合法的數(shù)字證書，他們提供了假名字、虛假的軟件作者信息、以及編造為何需要證書。他們在取得證書后，會在黑市轉(zhuǎn)手賣給黑客，讓黑客得以在短時間內(nèi)在APT攻擊里用上合法簽名的惡意軟件。

InfoArmor曾報道過certs4you.org網(wǎng)站的案例，這個網(wǎng)站就提供了為惡意軟件簽名的服務(wù)。

小編結(jié)語

利用合法的數(shù)字簽名技術(shù)，能繞過一些殺毒軟件。像以前FreeBuf報道過的D-LINK路由器，就在固件包里泄露了簽名證書，因此用這個法子免殺還是很有市場的。