恶意软件活动中的代码签名滥用问题

经过分析了300万次软件下载，仔细研究了不受欢迎的软件下载以及它们所带来的风险。然后还简要地提到了有关代码签名滥用的问题，都将在这篇文章中对此进行详细阐述。

代码签名是加密签名软件的做法，目的是使操作系统(如Windows)有一种有效和准确的方法来区分合法的应用程序(如Microsoft Office的安装程序)和恶意软件。所有现代操作系统和浏览器都会通过证书链。

有效证书由受信任的证书颁发机构(CA)颁发或签名，由父CA备份。这一机制完全和严格地依赖于信托。根据定义，我们假定恶意软件操作员是不可信任的实体。据推测，这些不值得信任的实体无法访问有效的证书。然而，根据分析表明，情况并非如此。

有一个完整的市场支持恶意软件运营商的操作，他们已经获得了有效证书的访问权，然后使用这些证书来签署恶意软件。经过层层分析，观察到了大量由可信当局签名的恶意软件绕过了最近在开放源码软件和浏览器中构建的任何客户端验证机制。

图1.签署的良性、未知和恶意软件百分比(有类型)

从图1可以看出，比合法或良性应用更多的恶意软件被签名(66%比30.7%)。通过浏览器等直接链接提供的恶意软件也是如此(81%对32.1%)。这表明网络罪犯通常提供正确签名的软件，因此运行和绕过代码签名验证。

由于图1提供了按恶意软件类型的细分，该分发版建议恶意软件运营商倾向于将更多精力用于在目标计算机上首先执行的恶意软件签名(如本系列的第一部分所强调的下拉列表和广告软件)，而不是更具有侵略性的恶意软件类型，这些恶意软件可能会在已经受到危害的环境中执行。从商业角度来看，这是有意义的，因为访问有效的代码签名是昂贵的，因此要求网络罪犯战略性地使用他们的预算。

图2.恶意软件的主要签字人

图3.主要的独家签名者，良性软件下载

 图4.主要的独家签名者，恶意软件下载

图3、4给出了良性应用程序和恶意应用程序的一般名称列表，而图2则提供了关于恶意软件类型的更详细的视图。虽然一些签字人如Somoto Ltd.、ISBRInstaller和Somoto以色列通常被发现在不同类型的恶意软件中作为签字人，而另一些则被发现用于更具体的类型。SecureInstall被发现被抛出者使用，Benjamin Delpy被发现被机器人所使用。

虽然审查恶意软件的主要签署者是至关重要的，但是也必须指出发行者更严重的关切，即签署良性软件和不必要的恶意软件。

图5.良性应用程序和不需要的恶意应用程序之间的常见签名者

注意：对于良性软件和不想要的恶意软件，都存在签名证书的原因。它们要么被偷，要么在地下被重新出售，或者合法的组织提供善意和可疑的应用，比如小狗。

代码签名滥用在地下是如何反映的

近年来，在野外报道了臭名昭著的代码签名滥用事件。

2010年，Stuxnet当它被发现使用被盗的数字签名时，引起了媒体的极大关注。Realtek半导体公司以WinCC监控和数据采集为目标SCADA系统。Realtek是一家合法的全球微芯片制造商，总部位于台湾。当证书被撤销时，Stuxnet开始使用JMicron技术公司，另一家专门从事微芯片设计的台湾公司。此后分析建议网络罪犯利用这些组织窃取他们的开发证书，包括用来签署可执行文件的私钥。

2014年，在索尼影业遭到大规模黑客攻击后，一场名为“德斯托”的恶意软件活动的样本被发现与索尼的有效证书签署。这个恶意软件据报针对索尼的攻击导致公司和个人数据泄露，并破坏公司PC上的数据。

CopyKitten，Suckfly，Turla和Regin其他著名的活动也成功地将签名证书用于恶意目的。

验证证书请求时的问题

观察到的一个普遍问题是CA在不同程度上无法正确验证它们接收的证书请求。但并不知道这是否是自愿的，责任线在哪里终止。

而公钥基础设施(PKI)提供三类证书由于其中两个需要对请求证书的实际组织或业务进行扩展的验证过程，还遇到了发给易于追踪网络犯罪(如恶意软件分发)的组织的证书。

在经过调查中，发现观察到与这一现象有关的一些主要的CA是COMODO和CELTON。在使用这些CA颁发的证书签名的数千个二进制文件中，大约14%(COMODO)和12%(CELOM)的二进制文件是恶意的。在大规模恶意软件运动期间，这些数值超过了36%。还有几个案例，Digicert、Symantec和VeriSignal证书被颁发给后来使用它们签署恶意软件的实体。

伪造证书的来源

欺诈证书的两个最常见原因如下：

1.偷来的证书：证书是从合法组织窃取的，在那里，恶意软件感染造成了系统危害。

2.伪造证书：CA向模仿合法组织的网络罪犯颁发证书。社会工程技术通常由攻击者使用。

看一下在野外观察到的一些情况。俄罗斯最大的金融经纪商之一成为网络犯罪分子的目标：Razy洗劫器。经过了一系列的联系了解后他们证实他们没有要求这样的证书。

图6.用于签署Razy Ransomware变体的欺诈性证书

在另一种情况下，攻击者模仿Oracle供应商获取两个证书，其中一个证书是作为甲骨文美国公司2014年，另一份作为“甲骨文产业”2017年。这些操作背后的网络罪犯签署恶意文件，如间谍软件，广告软件，不想要的浏览器工具栏和其他小狗。这些二进制文件被隐藏为合法的Oracle应用程序。其中一个文件是以Java程序命名的。

图7.恶意软件隐藏为Java应用程序，与Oracle America，Inc.的证书签署

还发现了用证书签名的恶意文件。邯郸市从台区立康日用品部。然而，证书已经被撤销，可能是因为签发人对可能发生的数据泄露或盗窃采取了行动。

图8.被撤销的证书的示例，据称该证书用于恶意软件

分发已签名的恶意软件的组织

也有一些组织拥有合法的产品，但进一步的审查发现了它们的其他一些方面。在某种程度上，这些组织似乎处于PUP和其他不受欢迎的软件(如广告软件)的灰色地带。布朗福克斯。在一定程度上，他们生产和商业化合法的软件，如工具栏，下载，和档案，但他们也发现嵌入在他们的“免费版”版本。他们的软件由适当的CA签发的证书进行数字签名。

一些例子：

1.思维火花互动网络公司是一家开发和销售娱乐和个人计算软件的公司。

2.收件箱-提供电子邮件等免费通讯平台的供应商

3.Auslogics-一种用于提高个人电脑性能的供应商广告软件(如Booster)

图9.由看似合法的组织签名的数千个恶意文件

图10.收件箱中不需要的工具栏示例

图11.澳氏广告页

地下销售的伪造证书

我们在地下发现了一些广告，比如在论坛和网络市场上的广告，这些广告出售伪造的证书。

图12.在地下以1600美元出售的扩展验证(EV)证书样本

图13.广告销售标准及电动汽车证书

地下伪造证书的广告表明，网络犯罪分子看到了代码签名机制在恶意软件活动中是多么有用。

在此提醒：代码签名是一种非常有效的防范恶意软件的技术，但正如上面的研究所揭示的，它不是万无一失的，而且可以被滥用。用户和企业应该仔细评估在他们的系统上安装的任何软件，以及标准的预防措施，比如更新操作系统和实现网络安全解决方案。

恶意软件检测系统需要有标签的文件才能保护互联网连接的机器免受感染。然而，来自不受欢迎的网站的大量软件文件仍未贴上标签，仍然存在未知或未定义的威胁。我们对滥用代码签名的研究是通过使用机器学习技术来分析文件的分类系统来实现的。

（作者：区块链安全档案，内容来自链得得内容开放平台“得得号”；本文仅代表作者观点，不代表链得得官方立场）