卡巴斯基实验室发现,用于数字签名的非信任证书在去年呈双倍增长
卡巴斯基实验室发现,用于数字签名的非信任证书在去年呈双倍增长。截止2014年底,公司的反病毒数据库已新增超6000种此类型的证书。鉴于具有签名的恶意威胁正日渐增多,我们的安全专家建议系统管理员和用户切勿轻信数字签名,不能仅依据签名便允许文件运行。
“病毒编写者会窃取并模仿有效的签名,以此误导用户和反病毒软件对恶意文件的判定。近几年,卡巴斯基实验室注意到高级持续性威胁的实施者也曾使用这一招数”,卡巴斯基实验室战略研究负责人Andrey Ladikov表示。
臭名昭著的Stuxnet病毒就曾盗用Realtek和JMicron的证书。名为Winnti的网络犯罪团伙从被入侵的游戏公司窃取了这些证书,并将其运用于新的攻击。不仅如此,其他中国黑客团伙运用同一证书发动不同攻击的事件也时有发生。这表明,黑暗市场的确存在。黑暗酒店团伙通常会对其使用的后门程序进行数字签名,明目张胆地获得用以创建虚假证书的密匙。
病毒扫描软件和计算机(误以为其具有有效的数字证书)的误判将导致新兴恶意软件被成功运行。为了避免发生上述情况,我们有必要借助有效的反病毒保护不断加强对已签名文件的控制,并遵循以下安全策略:
- 禁用由未知软件厂商数字签名的应用程序,因为这些证书多盗取自小型开发商。
- 切勿将来自未知证书中心的证书安装于存储区。
- 不可仅依据证书名称便允许具有受信任证书签名的程序运行。请仔细检查证书的其它属性,如序列号和证书指纹(哈希校验值总和)。
- 建议安装Microsoft MS13-098更新程序。它无需破坏文件签名,即可避免已签名文件出现错误的附加信息。
- 使用一款具有受信任和非受信任证书数据库的可靠反病毒软件。
请阅读Securelist.com中的博文了解更多详情。
