惡意軟體通常會偽裝成別的東西來穿透IT的防衛 – 可能是用電子郵件送出的緊急帳款通知，或能夠免費解決一切問題的防毒軟體。儘管安全社群發出了警告，許多使用者還是輕易地落入這些陷阱裡，攻擊者也每天都在找新方法來包裝惡意軟體。

 一個比較進階的做法是讓惡意軟體看起來像合法的防毒軟體，加上一個數位簽章。比方說，2010年的Stuxnet蠕蟲就採取了這做法，利用兩個安全廠商的憑證來散播檔案。從那時算起，使用竊取憑證的惡意軟體並不多見，但事情可能有所變化。

雖然有些惡意軟體會使用舊憑證，但更進步的變種會竊取建立只有幾天的憑證，減少會被視為無效的機會。Antivirus Security Pro這惡意軟體，自2009年以來就已經用過許多不同的名字出現，而且可能使用超過一打的竊取或偽造憑證來騙過軟體開發者和感染其系統。

CA憑證已經漸漸地成為惡意軟體作者和情報單位針對的目標，他們可能會建立假憑證來進行監視或中間人攻擊。連網頁瀏覽器（如Mozilla Firefox）都出現可能會被惡意憑證製作和安裝所攻擊的漏洞。

有鑑於這些狀況，為了保護使用者資料和維護商業信譽，現在確保簽章用金鑰比以往任何時候都更加重要。廠商還應該更加經常檢查憑證撤銷，讓無效憑證無法被用來穿透安全防護。

網路犯罪份子如何和爲什麼要針對數位憑證

數位憑證是由認證機構所簽發，就像是一個印章，用來表明這特定軟體沒有被篡改過。使用者可以檢查憑證加密來驗證應用程式確實來自其聲稱的開發商。

因此，如果一個不法團體取得一個合法的CA憑證，它就能夠簽署惡意軟體，讓程式看起來合法。簽章惡意軟體的作者通常會支付相關單位憑證的費用，因為CA可能不知道憑證會被用在惡意目的。

但與其透過標準管道，有許多網路犯罪分子會去竊取憑證用在自己的應用程式。微軟最近報導一個稱為Winwebsec或是Antivirus Security Pro的威脅演變，它採用了世界各地單位所簽發的憑證。這些憑證來自一些知名的CA，簽發給荷蘭、美國、英國、加拿大、德國和俄羅斯的開發者。

一旦安裝，Antivirus Security Pro的行為介於防毒掃描程式和勒索軟體 Ransomware之間。它會持續地用發現「惡意程式和病毒」的假通知來干擾使用者，要擺脫這些通知的唯一方法就是付錢來「註冊」軟體。它還可能會利用微軟標誌來讓自己看起來合法，而且還會下載其它惡意軟體，或封鎖連向某些網站的流量。

想拿到CA憑證一直被認為是困難而有風險的作法，因為需要攻擊者去攻入使用合法憑證的組織，或直接駭入簽發憑證的CA。不過，部分安全專家警告憑證竊取會變得更加普遍，因為攻擊者想要能夠繞過64位版本Windows 7和Vista驅動程式強制簽章的方法。

在Stuxnet蠕蟲之後，惡意軟體作者會製造帶有竊取憑證所保護Rootkit驅動程式的後門。雖然針對這漏洞去撤銷憑證並不是個很難的過程，問題是，許多作業系統並不是那麼常去檢查憑證撤銷列表，如果他們有檢查的話。結果就是，簽章過的惡意軟體有足夠的時間來破壞受感染的系統。

安裝程式和模組也是已簽章惡意軟體的目標。有些合法防毒軟體不會去掃描這些簽章過的檔案，因為會預設這些檔案是安全的。

「簽章過的模組更有可能會被加入白名單，它們被充分分析的機率較低，所以它們會有一段長時間不被發現」：安全研究員Costin Raiu在InfoWorld上說明。

Winwebsec、Fareit和其他對安全憑證的威脅

Winwebsec/Antivirus Security Pro並不是最近唯一簽章過的惡意軟體。它和其他幾個變種關係緊密，這些變種可能被下載或交動，以深入挖掘受感染的系統。

Antiviurs Security Pro可能會下載Ursnif，一個用來監測網路流量和竊取密碼的工具。類似的Fariet惡意軟體具備Ursnif所移除的早期版本功能，可以從FTP客戶端竊取密碼和下載Antivirus Security Pro副本，建立一個已簽章惡意軟體複雜、自給自足的網路。

除了Antirvirus Security，還有其他幾個威脅是應該要知道的。一名安全研究人員最近發現一個Firefox漏洞，會允許流氓擴充程式來變更網路代理程式設定，並且在Windows安裝假CA憑證。

上個月，Google回報有一個法國當局認證機構下的中級CA發出假SSL憑證給它的網域。這些憑證可能已經被用來檢查加密網頁流量、假造內容或執行中間人攻擊。

如何安全地管理程式碼簽章憑證

隨著憑證被放在鎂光燈下，開發者和組織必須確保他們保持私鑰的安全。他們可以將金鑰儲存在安全模組、隨身碟或是智慧卡。任何儲存憑證的系統都必須要安裝定期更新的防毒軟體，也不能用來做一般網頁瀏覽。

「就跟保護你房子和車子鑰匙安全是一樣的重要，保護你程式碼簽章私鑰是很基本的事情，」Microsoft在一篇談到Winwebsec的部落格文章裡這樣提到。「置換憑證不只是不方便，而且往往代價昂貴，它也可能導致你公司的聲譽受損，如果被用來簽章惡意軟體。」

@原文出處：Fake antivirus solutions increasingly have stolen code-signing certificates

下列是一些在2014年保持安全上網的方法，建議將它們加入自己的準則裡。

＃1 – 替你的電腦和行動設備取得或維護一套超強的安全軟體，可以定期更新，並且不止是提供防毒保護。

＃2 –如果你使用的是信用卡，那麼記得注意你每個月的帳單，如果有任何欺詐性消費出現就要加以否認。

＃3 –持續檢查和調整你Facebook上的隱私設定，尤其你想要年後轉職的話,請限制可以看到你貼文的朋友。另外要了解到，你在Facebook上所做的一切都沒有私密性。

＃4 – 變更你所有網路帳號的密碼，確保每一個新密碼都至少有10個字元，混合英文字母（大小寫）、數字和特殊符號。

＃5 – 開始或繼續實行PIE（保護 Protection、直覺 Intuition和教育 Education）以在網路上保持精明。

＃6 – 不要落入釣魚郵件詐騙陷阱。保持懷疑態度，認為出現在你信箱的每封郵件都可能嘗試竊取你的身份資料。

＃7 – 在你按下「傳送」或「張貼」前先想一想…分享過多可能會帶來後遺症，有時甚至是在好幾年之後出現。停下來想想你將要分享的東西，有沒有可能回過頭對自己造成傷害。 繼續閱讀

2013 年進入第三季後，減肥到尖端醫藥產品等與保健相關的垃圾郵件數量在增加。在某個時間點時，這類型的垃圾郵件佔所有我們看到垃圾郵件的30％，每天發現超過兩百萬封樣本。

2013年是垃圾郵件情勢變動的一年。

垃圾郵件(SPAM)數量從2012年開始增加。趨勢科技看到之前成功的漏洞攻擊包數量下降。還有老瓶裝新酒，歸因於垃圾郵件(SPAM)發送者使用了各種不同的技術。雖然我們仍然看到傳統類型的垃圾郵件，我們也看到了一些「改良」，讓垃圾郵件發送者可以躲避偵測，危害更多的使用者。我們也在這一年開始看到更多垃圾郵件被用來攜帶惡意軟體。

 

圖一、自2008年起的垃圾郵件數量

 

黑洞漏洞攻擊包緩緩走向死亡

黑洞漏洞攻擊包（BHEK）是個惡名昭彰的漏洞攻擊包，被廣泛用在許多垃圾郵件活動裡。這種漏洞攻擊包適應性強，結合漏洞和當前「熱門話題」，甚至是社群網路來進行許多攻擊活動。

在2013年，我們看到198起的BHEK垃圾郵件活動，和上一年度比起來數量較小。數量或許已經減少了，但並不表示這樣的攻擊活動比較無效。比方說，我們在「皇室寶寶」誕生正式消息發佈後幾小時內就看到了垃圾郵件出現。在這起特定的垃圾郵件活動裡，相關垃圾郵件數量達到該段時間內所有收集到垃圾郵件的0.8％。

 

圖二、2012年3月到2013年12月的BHEK活動

 

第三季結束的重要事件是Paunch被逮捕，他被認為是BHEK的創造者。我們注意到，在他被捕後的兩個星期沒有發現任何明顯的BHEK垃圾郵件活動。BHEK垃圾郵件活動持續減少，直到12月變成沒有。

保健題材垃圾郵件邁向尖峰

進入第三季後，我們注意到與保健相關的垃圾郵件數量在增加。在某個時間點時，這類型的垃圾郵件佔所有我們看到垃圾郵件的30％，每天發現超過兩百萬封樣本。這些郵件的內容從減肥到尖端醫藥產品，應有盡有。

這特殊垃圾郵件活動值得注意的是，這些郵件已經從傳統「直接」的方式（使用產品圖片和推銷購買），發展到用更「隱晦」的方式。保健類別垃圾郵件現在會用電子報模板來兜售產品。利用電子報模板的目的可能有兩個：躲避反垃圾郵件過濾偵測，讓使用者更覺得郵件正常。幾起郵件甚至聲稱自己來自知名的新聞來源，如哥倫比亞廣播公司、CNBC、CNN、紐約時報和USA Today。

圖三、保健相關垃圾郵件樣本

繼續閱讀