更新(2月6日):数字证书已被Digicert撤销。

证明

更新(2月4日下午3:44):Egnyte在接到我们的电话后立即注销了非法账户。但是,数字签名仍在使用中。

在过去的几天里,我们听到了一些大公司被黑客攻击,他们的安全系统被完全绕过的故事。如果有的话,这应该提醒我们,我们的数据和隐私是多么脆弱。事实上,一个人可以利用的角度有很多,最终它会让我们想要相信什么或谁。

举例说,在STUXNET之后一直处于聚光灯中的数字证书使用了一些或者在Adobe的服务器之后违反签署恶意软件。数字签名的目的是保证来自特定供应商的文件的真实性,并由少数证书机构提供。

我们刚刚发现了一个新的恶意软件样本(巴西银行/密码窃取者),恰巧用DigiCert颁发的真实有效的数字证书签名:

digi1

digi2

该证书发给了一家名为“Buster Paper Comercial Ltda”的公司,这是一家实际上不存在的巴西公司,并以虚假数据注册:

公司

这个文件——伪装成PDF文件(发票)——实际上是这样打开来欺骗受害者的:

PDF.

发票

但是这里真的发生了什么?让我们看看,这里是创建的新进程:

流程

和HTTP流量:

交通

让我们暂停恶意软件连接到的时刻:som.egnyte.com

这是云存储公司的子域,专注于企业的文件共享。他们没有意识到他们的服务已被用于托管恶意软件(这是针对他们的使用条款)。假PDF文档下载存储在此服务器上的其他有效载荷:

  • hxxps://som.egnyte.com/h-s-internal/ {redacted} / f3487f359b38436f
  • hxxps://som.egnyte.com/h-s-internal/ {redacted} / d3669545621045d9

这些文件是银行木工特洛伊木马,非常大(未解压缩10 MB):

下载

没有双关语的意思,但规模同样重要防病毒扫描仪检测更大的文件有问题。

再深入挖掘一下,这根本不是一个新案子。事实上,去年11月同样的数字签名木马也被分发了(请参阅此威胁专家)报告证明)。它的证书已经被撤销:

证明

我们在这里有什么总体滥用同一人民的托管服务,数字证书和反复犯罪。显然,如果数字证书可以如此轻松滥用,我们手上有一个大问题。

数字证书盗窃可以用于目标攻击,例如鱼叉式网络钓鱼攻击。正如我们所知,安全链中最薄弱的一环是终端用户(这在企业世界中尤其如此)。攻击者可以很容易地发现或猜测一家公司正在运行的反病毒软件,并制造出一款不会被其检测到的恶意软件。由于此类攻击的范围非常狭窄,样本不会散布到世界各地,因此被发现的可能性较小。

我们的消费者小本生意企业所有客户都将受到保护,免受这种威胁,我们发现这是间谍软件。

MAM.

同样的旧技巧仍然坚定。甚至没有首先要彻底检查它,甚至没有打开附件。

即使文件是数字签名,也不保证使用它是安全的。许多潜在的不需要的应用程序可以使用数字证书,当然,恶意软件也可以(具有有效或撤销的证书)。

同时,应用这些基本但强大的规则:

-检查文件扩展名,并注意双重(或有时多重)文件扩展名的技巧:即document.pdf. xsl .exe(重要的是最后一个扩展名!)

- 切勿信任文件图标。只是因为它看起来像一个单词文档或PDF文件并不意味着它,大多数人都不知道。

上周五联系了证书颁发机构Digicert和文件主机EGNYTE,但我们还没有从他们那里收到任何消息。

记住这一点,保持安全!