分類: 假防毒軟體

在過去幾週裡，趨勢科技看到了TROJ_GATAK.FCK的感染數量在增加。在檢視其可能原因時，我們發現該惡意軟體會以各種應用程式的註冊碼產生器面貌出現。從昂貴、專業的工程和科學軟體到多媒體編輯工具、效能評比軟體甚至是遊戲都有：

• AVEVA_PDMS_v12_0_keygen.exe
• AllData_10_40_keygen.exe
• Bigasoft_MKV_Converter_3_7_18_4668_keygen.exe
• CambridgeSoft_ChemBioOffice_Ultra_v13_0_Suite_REMEDY_keygen.exe
• Cockos_REAPER_4_581_Final_keygen.exe
• Fireplace_3D_Screensaver_and_Animated_Wallpaper_3_0_keygen.exe
• GeekBench_2_2_3_keygen.exe
• Guaranteed_PDF_Decrypte_v3_11_keygen.exe
• Macrium_Reflect_Professional_5_2_6433_keygen.exe
• Magical_Diary_Horse_Hall_keygen.exe
• Nuance_Dragon_Naturallyspeaking_12_0_Premium_Iso_keygen.exe
• Oloneo_PhotoEngine_v1_0_400_306_keygen.exe
• RadioSure_Pro_2_2_1004_0_keygen.exe
• Reg_Organizer_6_11_Final_Portable_keygen.exe
• The_Bat_Home_Edition_5_0_24_keygen.exe
• The_Precursors_1_1_keygen.exe
• Wolfram_Mathematica_9_keygen.exe

如果使用者下載並執行這個檔案（認為它是個註冊碼產生器），它會植入檔案到%APPDATA%資料夾，並建立一個相對應的自動啟動註冊碼。 繼續閱讀

惡意軟體通常會偽裝成別的東西來穿透IT的防衛 – 可能是用電子郵件送出的緊急帳款通知，或能夠免費解決一切問題的防毒軟體。儘管安全社群發出了警告，許多使用者還是輕易地落入這些陷阱裡，攻擊者也每天都在找新方法來包裝惡意軟體。

 一個比較進階的做法是讓惡意軟體看起來像合法的防毒軟體，加上一個數位簽章。比方說，2010年的Stuxnet蠕蟲就採取了這做法，利用兩個安全廠商的憑證來散播檔案。從那時算起，使用竊取憑證的惡意軟體並不多見，但事情可能有所變化。

雖然有些惡意軟體會使用舊憑證，但更進步的變種會竊取建立只有幾天的憑證，減少會被視為無效的機會。Antivirus Security Pro這惡意軟體，自2009年以來就已經用過許多不同的名字出現，而且可能使用超過一打的竊取或偽造憑證來騙過軟體開發者和感染其系統。

CA憑證已經漸漸地成為惡意軟體作者和情報單位針對的目標，他們可能會建立假憑證來進行監視或中間人攻擊。連網頁瀏覽器（如Mozilla Firefox）都出現可能會被惡意憑證製作和安裝所攻擊的漏洞。

有鑑於這些狀況，為了保護使用者資料和維護商業信譽，現在確保簽章用金鑰比以往任何時候都更加重要。廠商還應該更加經常檢查憑證撤銷，讓無效憑證無法被用來穿透安全防護。

網路犯罪份子如何和爲什麼要針對數位憑證

數位憑證是由認證機構所簽發，就像是一個印章，用來表明這特定軟體沒有被篡改過。使用者可以檢查憑證加密來驗證應用程式確實來自其聲稱的開發商。

因此，如果一個不法團體取得一個合法的CA憑證，它就能夠簽署惡意軟體，讓程式看起來合法。簽章惡意軟體的作者通常會支付相關單位憑證的費用，因為CA可能不知道憑證會被用在惡意目的。

但與其透過標準管道，有許多網路犯罪分子會去竊取憑證用在自己的應用程式。微軟最近報導一個稱為Winwebsec或是Antivirus Security Pro的威脅演變，它採用了世界各地單位所簽發的憑證。這些憑證來自一些知名的CA，簽發給荷蘭、美國、英國、加拿大、德國和俄羅斯的開發者。

一旦安裝，Antivirus Security Pro的行為介於防毒掃描程式和勒索軟體 Ransomware之間。它會持續地用發現「惡意程式和病毒」的假通知來干擾使用者，要擺脫這些通知的唯一方法就是付錢來「註冊」軟體。它還可能會利用微軟標誌來讓自己看起來合法，而且還會下載其它惡意軟體，或封鎖連向某些網站的流量。

想拿到CA憑證一直被認為是困難而有風險的作法，因為需要攻擊者去攻入使用合法憑證的組織，或直接駭入簽發憑證的CA。不過，部分安全專家警告憑證竊取會變得更加普遍，因為攻擊者想要能夠繞過64位版本Windows 7和Vista驅動程式強制簽章的方法。

在Stuxnet蠕蟲之後，惡意軟體作者會製造帶有竊取憑證所保護Rootkit驅動程式的後門。雖然針對這漏洞去撤銷憑證並不是個很難的過程，問題是，許多作業系統並不是那麼常去檢查憑證撤銷列表，如果他們有檢查的話。結果就是，簽章過的惡意軟體有足夠的時間來破壞受感染的系統。

安裝程式和模組也是已簽章惡意軟體的目標。有些合法防毒軟體不會去掃描這些簽章過的檔案，因為會預設這些檔案是安全的。

「簽章過的模組更有可能會被加入白名單，它們被充分分析的機率較低，所以它們會有一段長時間不被發現」：安全研究員Costin Raiu在InfoWorld上說明。

Winwebsec、Fareit和其他對安全憑證的威脅

Winwebsec/Antivirus Security Pro並不是最近唯一簽章過的惡意軟體。它和其他幾個變種關係緊密，這些變種可能被下載或交動，以深入挖掘受感染的系統。

Antiviurs Security Pro可能會下載Ursnif，一個用來監測網路流量和竊取密碼的工具。類似的Fariet惡意軟體具備Ursnif所移除的早期版本功能，可以從FTP客戶端竊取密碼和下載Antivirus Security Pro副本，建立一個已簽章惡意軟體複雜、自給自足的網路。

除了Antirvirus Security，還有其他幾個威脅是應該要知道的。一名安全研究人員最近發現一個Firefox漏洞，會允許流氓擴充程式來變更網路代理程式設定，並且在Windows安裝假CA憑證。

上個月，Google回報有一個法國當局認證機構下的中級CA發出假SSL憑證給它的網域。這些憑證可能已經被用來檢查加密網頁流量、假造內容或執行中間人攻擊。

如何安全地管理程式碼簽章憑證

隨著憑證被放在鎂光燈下，開發者和組織必須確保他們保持私鑰的安全。他們可以將金鑰儲存在安全模組、隨身碟或是智慧卡。任何儲存憑證的系統都必須要安裝定期更新的防毒軟體，也不能用來做一般網頁瀏覽。

「就跟保護你房子和車子鑰匙安全是一樣的重要，保護你程式碼簽章私鑰是很基本的事情，」Microsoft在一篇談到Winwebsec的部落格文章裡這樣提到。「置換憑證不只是不方便，而且往往代價昂貴，它也可能導致你公司的聲譽受損，如果被用來簽章惡意軟體。」

@原文出處：Fake antivirus solutions increasingly have stolen code-signing certificates