NVIDIA拒絕支付贖金后 威脅者利用代碼簽署惡意軟件 可在Windows中加載

利用竊取過來的 NVIDIA 代碼,威脅者利用簽名證書來簽署惡意軟件,使其看起來值得信賴,並允許在 Windows 中加載惡意驅動程序。本周,NVIDIA 公司證實,他們遭受了一次網絡攻擊,使威脅者得以竊取員工的證書和專有數據。

NVIDIA拒絕支付贖金后 威脅者利用代碼簽署惡意軟件 可在Windows中加載

對本次泄露事件負責的勒索集團 Lapsus$ 表示,他們已經竊取了 1TB 的數據,並在 NVIDIA 拒絕與他們談判后開始在網上泄露這些數據。泄漏的數據包括 2 份被盜的代碼簽名證書,這些證書是 NVIDIA 開發人員用來簽署其驅動程序和可執行文件的。

NVIDIA拒絕支付贖金后 威脅者利用代碼簽署惡意軟件 可在Windows中加載

代碼簽名證書允許開發人員對可執行文件和驅動程序進行數字簽名,以便 Windows 和終端用戶能夠驗證文件的所有者,以及它們是否被第三方篡改過。為了提高 Windows 的安全性,微軟還要求內核模式的驅動程序在操作系統加載之前必須進行代碼簽名。

NVIDIA拒絕支付贖金后 威脅者利用代碼簽署惡意軟件 可在Windows中加載

NVIDIA拒絕支付贖金后 威脅者利用代碼簽署惡意軟件 可在Windows中加載

在 Lapsus$ 泄露了英偉達的代碼簽名證書後,安全研究人員很快發現,這些證書被用來簽署惡意軟件和威脅者使用的其他工具。根據上傳到 VirusTotal 惡意軟件掃描服務的樣本,被盜的證書被用來簽署各種惡意軟件和黑客工具,如 Cobalt Strike 信標、Mimikatz、後門和遠程訪問木馬。

例如,一個威脅者用該證書籤署了一個 Quasar 遠程訪問特洛伊木馬[VirusTotal],而另一個人用該證書籤署了一個 Windows 驅動程序[VirusTotal]。雖然這 2 個被盜的英偉達證書都已過期,但Windows仍然允許在操作系統中加載用這些證書籤名的驅動程序。

(0)
上一篇 2022-03-07 09:15
下一篇 2022-03-07 09:15

相关推荐