NVIDIA拒絕支付贖金后 威脅者利用代碼簽署惡意軟件 可在Windows中加載

利用竊取過來的 NVIDIA 代碼，威脅者利用簽名證書來簽署惡意軟件，使其看起來值得信賴，并允許在 Windows 中加載惡意驅(qū)動程序。本周，NVIDIA 公司證實，他們遭受了一次網(wǎng)絡攻擊，使威脅者得以竊取員工的證書和專有數(shù)據(jù)。
對本次泄露事件負責的勒索集團 Lapsus$ 表示，他們已經(jīng)竊取了 1TB 的數(shù)據(jù)，并在 NVIDIA 拒絕與他們談判后開始在網(wǎng)上泄露這些數(shù)據(jù)。泄漏的數(shù)據(jù)包括 2 份被盜的代碼簽名證書，這些證書是 NVIDIA 開發(fā)人員用來簽署其驅(qū)動程序和可執(zhí)行文件的。
代碼簽名證書允許開發(fā)人員對可執(zhí)行文件和驅(qū)動程序進行數(shù)字簽名，以便 Windows 和終端用戶能夠驗證文件的所有者，以及它們是否被第三方篡改過。為了提高 Windows 的安全性，微軟還要求內(nèi)核模式的驅(qū)動程序在操作系統(tǒng)加載之前必須進行代碼簽名。
在 Lapsus$ 泄露了英偉達的代碼簽名證書后，安全研究人員很快發(fā)現(xiàn)，這些證書被用來簽署惡意軟件和威脅者使用的其他工具。根據(jù)上傳到 VirusTotal 惡意軟件掃描服務的樣本，被盜的證書被用來簽署各種惡意軟件和黑客工具，如 Cobalt Strike 信標、Mimikatz、后門和遠程訪問木馬。
例如，一個威脅者用該證書簽署了一個 Quasar 遠程訪問特洛伊木馬[VirusTotal]，而另一個人用該證書簽署了一個 Windows 驅(qū)動程序[VirusTotal]。雖然這 2 個被盜的英偉達證書都已過期，但Windows仍然允許在操作系統(tǒng)中加載用這些證書簽名的驅(qū)動程序。
文章轉(zhuǎn)載自cnBeta.COM