研究發現有勒索軟件利用 Microsoft 認可憑證進行攻擊

現在的手機和電腦系統都有一定的保安防護能力,需要有可信任的憑證簽署才可以安裝軟件。不過惡意軟件有時會透過盜用其他正規軟件的憑證進行偽裝。最近有研究在發現,有勒索軟件集團使用了經 Microsoft 認可的憑證進行入侵。

Sophos 早前在調查可以活動的時候,發現有證據表示與俄羅斯有關的古巴勒索軟件集團正在利用正規軟件發行商的 Windows 驅動程式憑證,取得 Windows 的高權限存取,對裝置進行更深入的篡改。Windows 在用家嘗試安裝驅動程式的時候,都會檢查驅動程式有否取得正規的憑證簽署,從而確保驅動程式安全,由於驅動程式是軟件和硬件之間的通訊渠道,因此其權限可以深入系統內部方便運作。

研究人员 Andreas Klopsch 和 Andrew Brandt 表示,來自大型和可信的軟件發行商的簽署確實難能使驅動程式發揮應有的功能,但同時由於勒索軟件盜用這些憑證簽署,令他們可以在系統通行無阻。今次事件中被盜用的最舊驅動程式來自 7 月份中國公司,12 月初的時候,他們已經通知 Microsoft 有關問題,並發佈了安全更新以及撤銷受影響的憑證。

來源:TechCrunch