赛门铁克公司最近在其博客 指出 ,他们感知出恶意软件的一个令人不安的 攻击 趋势。在盗用正常的SHA-2证书后,恶意软件能 存活的 更加容易。
这个变化是恶意软件进化的一部分,毕竟SHA-1已经被安全公司盯上了。恶意软件想要通过这种办法,让受感染的系统认为自己是正常的代码。如果系统真如其所愿的话,恶意软件将有更高的概率逃过检测。
微软已经宣布在2016年1月1日后,在某些情况下 放弃对SHA-1签名过的文件的支持 。恶意软件的缔造者则回应,他们会加入窃取的SHA-2证书。
赛门铁克提到了老旧的银行木马: Trojan.Carberp. B ,已经经过自我修改而应用上了这种方法。这种东西通常会将感染病毒的附件嵌入email的文档里,并以ATTN 00890作为标题。当然,这个email和附件使用了针对会计部门的语言。
受感染的附件包含了使用了ROT13加密的恶意宏,它会让受感染的机器,从毛里求斯的某个服务器下载一个签名后的二进制文件:sexit.exe,并且进行自动安装。
研究人员发现sexit.exe一共签署了两个签名,一个是基于SHA-1,而另一个是基于SHA-2的,这些都是为了逃避操作系统的安全检测。单独使用SHA-1证书可能不会被新的操作系统所接受,而单独使用SHA-2证书,则不会被老旧系统所接受(比如Windows XP sp3)。
当然,像这样做还有个好处。在SHA-1证书被签名验证发现是伪造的后,我们还有SHA-2证书作为备胎顶上去。
这种技术的崛起,显示了恶意软件缔造者是如何适应新的证书规则的。当然,它并不会马上蔓延开来,因为 缔造者 们还需要研究如何兼容老旧系统,但是在不久的将来还是会到来的。
*参考来源: SI ,FB小编dawner编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)