使用網絡服務應有良好的資訊保安意識,當要輸入敏感資料時,應確保網站有使用 HTTPS 加密連線,保障通訊安全。HTTPS 認證組織 Let’s Encrypt,由 Google、Microsoft 等科企共組,發行免費 SSL 數碼證書,本意是推動全球網站採用 HTTPS 加密連線,但近日 Trend Micro 就發現其機制遭黑客濫用,被用作發布惡意程式,盜取網上銀行賬號。
推動全球網站加密 卻遭濫用失本意
數月前 Unwire.pro 亦曾報導過 Let’s Encrypt 的相關消息,該組織於去年 9 月 14 日發表聲明慶祝發出首張數碼證書,並開放免費數碼證書申請測試計劃。目前 Let’s Encrypt 已全面開放免費數碼證書申請,並獲 Google Chrome、Mozilla Firefox 和 Microsoft Internet Explorer 等主流瀏覽器 Cross Signature 支援。
Let’s Encrypt 發行免費數碼證書的原意,是推動全球網站採用 HTTPS 加密連線,並簡化其申請程序,然而全面開放雖然方便了有心為用戶提供加密通訊的網站,但亦令黑客有機可乘,濫用作散佈惡意程式。
審核機制存漏洞 黑客有機可乘部署惡意攻擊
Trend Micro 安全研究人員在去年 12 月 21 日發現了一項藉由廣告散佈惡意程式的活動,該活動會欺騙用戶下載能盜取銀行賬號的惡意程式,並利用 Let’s Encrypt 所發出的免費 SSL 數碼證書來迷惑用戶,掩飾其惡意行為。
利用廣告散佈惡意程式的行為,黑客一般會選擇在正規網站嵌入惡意廣告,當用戶點擊後就會轉至其他網站,欺騙用戶下載惡意程式。過去黑客要成功部署這些惡意行為,往往需要在網絡黑市購買被盜取的 SSL 證書,倘若這些盜取證書被發現,合法擁有人可以將其作廢,使惡意活動失效。不過現況已隨著 Let’s Encrypt 的出現而改變。
安全研究人員指,今次發現的惡意行為,主要受影響的是日本地區用戶。黑客會先利用惡意廣告將用戶轉至新設立的網站,而該網站會使用 Let’s Encrypt 發出的 SSL 證書迷惑用戶,讓用戶認為仍處於 HTTPS 加密連線保護的網站中,然後利用 Angler Exploit Kit 感染受害者的電腦,安裝 Vawtrack Banking Trojan — 專門用作盜取網上銀行賬號的木馬程式。
研究人員解釋,惡意網站之所以能成功獲得免費 SSL 證書的批核認證,是因為黑客利用了 Let’s Encrypt 的審核機制漏洞,研究員 Joseph Chen 指目前 Let’s Encrypt 在審核時只會根據 Google Safe Browsing API 檢查申請網站的主域名是否包含惡意程式或釣魚攻擊等行為,然而並不會檢查影子域名或子域名,黑客就是利用該機制漏洞輕而易舉地取得認證批核,成功將惡意廣告、惡意程式等活動置於子域名下部署攻擊。
無廢止證書政策 黑客濫用情況恐趨嚴重
令問題更嚴重的是,Let’s Encrypt 的政策曾表明不會作廢數碼證書,在其 10 月 29 日發表的聲明中指,Let’s Encrypt 的任務是建立更安全和保安嚴密的網絡世界,雖然對抗釣魚攻擊和惡意程式同樣重要,但要求數碼證書認證機構 (Certification Authorities, CAs) 站到最前線是不合理的。
Trend Micro 並不認同該說法,其認為作為 CAs 應該廢止不法團體使用的證書,以降低免費 SSL 證書被濫用的威脅。換言之,Let’s Encrypt 要有合適的機制預防未經審核的證書用於子域名上,並以同等的標準一併審核主域名和子域名。
目前 Trend Micro 已與 Let’s Encrypt 和受影響的網站接觸,通知他們今次發現的惡意活動,但截稿前在 Let’s Encrypt 的官方網站上仍未發現針對相關事件的回應。
然而可以預見,隨著 Let’s Encrypt 全面開放免費 SSL 數碼證書的申請,令黑客無需再如以往般要在網絡黑市購買才能取得 SSL 數碼證書,明顯地減低了惡意活動的部署成本。若 Let’s Encrypt 的審核機制不作改善,問題或許將越趨嚴重。
Source: The Hacker News Trend Micro Let’s Encrypt