1、拥有数字签名的高隐匿恶意软件正逐步兴起

CSRI（Cyber Security Research Institute）最近的一项调查显示，被窃取的数字签名证书可供任何人在暗网上买卖，售价高达 1,200 美元。

数字证书是可信认证机构（CA）颁发的，一般用于计算机程序的加密签名，包含数字签名的程序会被计算机所信任，因此在执行过程中不会有任何的警告消息。

但是，近年来数字签名正被那些寻求安全防护措施绕过方案的恶意软件开发者和黑客们所滥用。

他们使用从软件供应商那里窃取来的数字证书对恶意程序进行签名，以此减小其在目标企业网络和消费者设备上被检测到的可能性。

03 年针对伊朗核设施的 Stuxnet 蠕虫就使用了合法的数字证书，同时，最近发生的 CCleaner 供应链攻击事件之所以能成功也与签名程序的更新操作有关系。

相较之前来说，现在这种针对数字签名的滥用更加普遍了，来自马里兰大学帕克分校的研究员 Doowon Kim、BumJun Kwon 和 Tudor Dumitras 表示，他们总共捕获了 325 个包含签名的恶意软件样本，其中的 189 个（58.2％）签名是有效的，而剩余的 136 个签名则是伪造的。

“借助伪造的签名来对抗杀软还是有用的，调查发现通过将合法样本的数字签名复制到未签名的恶意样本中有可能会帮助其躲避杀软的检测。” 研究人员解释道。

而捕获的包含有效签名的 189 个恶意样本中一共用到了 111 个 CA 机构颁发的签名证书，这些被窃取的证书原本是用来对正常软件进行签名的。

在写这篇文章的时候，被窃取的证书中已经有 27 个被吊销了，而对使用剩下 84 个未被吊销证书来签名的恶意软件，只要证书还未过期，它们就仍然会被系统所信任。

“很大一部分（88.8％）恶意软件家族都使用同一个证书进行签名，这表明被滥用的证书主要是由恶意软件开发者持有，而非由其他的第三方所控制。” 研究人员补充道。

目前他们也已经在 signedmalware.org 上公布了这些被滥用证书的统计列表。

此外研究人员还表示，即便签名无效，他们也发现至少有 34 款 AV 产品无法对证书的有效性进行正确检查，最终会导致恶意代码在目标机器上运行。

他们在上周举办的 ACM CCS 2017 会议中介绍了他们的发现，更多内容可参考此 Paper。

原文链接：https://thehackernews.com/2017/11/malware-digital-certificate.html

本文由看雪翻译小组 BDomne 编译

2、whatsapp 假APP下载量超过100万，谷歌终于将之从Google Play移除

一个虚假whatsApp 在Google play 有过百万的下载量。当前，谷歌已将此应用从Google play移除，并停用该开发者的账户。

Redditor用户在这个周末的时候揭露了这个恶意软件还会给用户下载一个Android apk 文件。

在下载并安装该文件后，该文件本身带有获得接入网络的权限。但其实它就是带有whatsapp.apk代码的广告的压缩包。这个软件没有名字，只有一个空白的icon，人们很难发现。

虽然谷歌已经过滤了很多恶意软件，但这一款恶意软件却逃脱了。因为这个开发者使用了unicode来使这款软件看起来合法。

原文链接：https://threatpost.com/1m-downloads-later-google-pulls-phony-whatsapp-from-google-play/128778/

本文由看雪翻译小组 哆啦咪 编译

*本文由看雪翻译小组翻译，转载请注明来自看雪论坛

*加入我们：
请将你的看雪ID、手机号、邮箱地址、翻译文章链接发至cherie@kanxue.com
注意：说明您的申请理由

欢迎加入我们！

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)