入侵俄罗斯安全公司卡巴斯基以及与伊朗核谈判有关酒店的恶意软件采用了从世界顶级电子制造商富士康窃取的电子证书。
卡巴斯基全球研究及分析团队主管Costin Raiu在分析攻击者为何会从一家台湾公司窃取数字证书时认为,可能攻击者是为了让调查者认为中国是幕后黑手。
攻击者曾在“震网”中一展身手
窃取并损坏合法证书对于安全社区来讲尤其让人难堪,因为这种行为破坏了验证合法软件最重要的方式之一。数字证书的作用如同护照,是软件制造者用来签名并验证代码的工具。数字证书会向浏览器跟计算机操作系统发出哪些软件可被信任的信号。但如果攻击者使用这些证书来签名恶意软件,整个数字证书就变得毫无意义。为了达到这一目的,攻击者必须首先窃取一家为自己软件签名公司的签名证书,也就是说攻击者必须首先入侵这些拥有证书的公司。
针对卡巴斯基的攻击代号为Duqu 2.0,它的攻击者被认为与“震网”病毒相同。2011年美国及以色列曾针对伊朗和计划发动了“震网”病毒攻击,而Duqu在其中发挥了重要作用,因此许多研究人员认为以色列是Duqu 1.0及Duqu 2.0的制造者。
在这三起攻击中——“震网”、Duqu 1.0及Duqu 2.0——攻击者都是利用台湾企业的数字证书。“震网”使用的数字证书来自两家位于台湾新竹市新竹科学工业园区的台企瑞昱半导体公司及智微公司。Duqu 1.0使用的是来自台北市的骅讯电子公司。而富士康的总部位于台湾新北市土城,离瑞昱半导体公司及智微公司约40英里,不过富士康在新竹科学工业园区也设有分公司。
Raiu表示,攻击者似乎在每次攻击中都会使用不同公司的数字证书,这说明他们盗取了多家公司的数字证书,因此应该引起警觉。
攻击者为何需要使用数字证书
Duqu 2.0针对的不仅是卡巴斯基而且还包括联合国安理会与伊朗举行核会谈的酒店及会议地点。有人将驱动器文件上传至VirusTotal(汇集多个杀毒扫描器的网站)时,才在卡巴斯基系统中发现富士康的数字证书。安全研究专家及其他人可以将可疑文件提交至网站以查看扫描器是否能检测到。上传至VirusTotal的驱动器文件也是通过相同的富士康证书签名的,这说明Duqu 2.0的另外一个受害者也在系统上发现了攻击。由于是匿名提交,因此无法知晓这个受害者的身份。
在针对卡巴斯基攻击的案例中,黑客使用了富士康的数字证书签名并在卡巴斯基服务器中安装了一个恶意驱动器。该服务器是64位的Windows服务器。最新版的Windows操作系统不允许驱动器在没有获得合法数字证书的情况下安装。驱动器安装的时间是今年2月19日。
这个驱动器对于卡巴斯基攻击来讲至关重要,因为安装在卡巴斯基系统的多数Duqu 2.0工具包被存储在系统内存中,每次重启被感染系统时,恶意软件都会消失。由于无需重新安装,攻击者有着失去这些被感染计算机的风险。为此,他们将签名的驱动器存储在了网络中的另一台设备上。每次被感染计算机重启时,驱动器都会在被清理干净的机器上重启感染。
驱动器发挥的另一个作用是帮助攻击者与被感染网络秘密远程通信。通常恶意黑客会让存在于网络中的每台计算机都与外部控制及命令服务器通信。但这么大的流量会引起警告。因此Duqu 2.0攻击者通过使用这个驱动器来限制流量以将流量导入并导出到网络中的受感染设备中并从中窃取数据。攻击者在卡巴斯基联网的防火墙、网关及服务器中安装了驱动器,目的是在受感染系统及命令和控制服务器之间搭建桥梁。
签名有风险
Raiu表示,从某种程度来讲,攻击者为何会利用证书来签名驱动器是一个谜,因为他们在攻击中还使用了Windows操作系统中允许入侵者绕过驱动器必须被签名要求的0day漏洞。因此Raiu认为他们签名驱动器是为了多一层保障,也就是说如果这个0day漏洞被修复,他们依然可以实施攻击。
那么为什么他们要使用富士康的数字证书呢?这个证书可能是他们所有证书中价值最大的,他们本可以使用其他台湾公司价值不大的证书。这就说明攻击者所抱信念是只许胜不许败。
而正是这个数字证书让卡巴斯基找到了这个秘密驱动器。
富士康的证书非常罕见。富士康仅在2013年签名非常特别的驱动器时才用过,这引起了研究人员的警觉并发现了Duqu 2.0驱动器。
本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。