卡巴斯基实验室发现,用于数字签名的非信任证书在去年呈双倍增长。截止2014年底,卡巴斯基实验室的反病毒数据库已新增超6000种此类型的证书。鉴于具有签名的恶意威胁正日渐增多,卡巴斯基实验室的安全专家为系统管理员和广大提供了若干实用的安全建议,并提醒广大用户切勿轻信数字签名,尤其不能仅依据签名便允许此类文件运行。
对于数字证书的这一趋势,卡巴斯基实验室战略研究负责人Andrey Ladikov表示:“病毒编写者会窃取并模仿有效的签名,以此误导用户和反病毒软件对恶意文件的判定。近几年,卡巴斯基实验室注意到高级持续性威胁的实施者也曾使用这一招数。”
举例而言,臭名昭著的Stuxnet病毒就曾盗用Realtek和JMicron的证书。名为Winnti的网络犯罪团伙从被入侵的游戏公司窃取了这些证书,并将其运用于新的攻击。不仅如此,其他中国黑客团伙运用同一证书发动不同攻击的事件也时有发生。这表明,黑暗市场的确存在。而另一网络犯罪团伙——黑暗酒店通常会对其使用的后门程序进行数字签名,明目张胆地获得用以创建虚假证书的密匙。
一旦病毒扫描软件和计算机出现误判,将会导致新兴恶意软件被成功运行,从而引发潜在的安全隐患。那么,如何才能避免上述情况的发生?
卡巴斯基实验室的专家认为,用户有必要借助有效的反病毒保护不断加强对已签名文件的控制,并遵循以下安全策略:
1.禁用由未知软件厂商数字签名的应用程序,因为这些证书多盗取自小型开发商。
2.切勿将来自未知证书中心的证书安装于存储区。
3.不可仅依据证书名称便允许具有受信任证书签名的程序运行。请仔细检查证书的其它属性,如序列号和证书指纹(哈希校验值总和)。
4.建议安装Microsoft MS13-098更新程序。它无需破坏文件签名,即可避免已签名文件出现错误的附加信息。
5.使用一款具有受信任和非受信任证书数据库的可靠反病毒软件。不论恶意威胁具有何种数字签名,卡巴斯基实验室针对企业和家庭用户的产品均能将其准确检出并高效清除,为用户带来安全无忧地上网或办公体验。
