代码签名证书成网络犯罪热门商品

IBMX-Force安全研究人员最近追踪的一个现象是CaaS（证书即服务）。网络犯罪分子在暗网上出售从受信任证书颁发机构获得的高级别代码证书，这种行为在最近的几个月内显著增长。

与证书相关的情况

创建证书的目的是生成受信任和有效的代码。通过这些证书我们能确保文件来自有效来源、未被污染且来源开放以供我们验证颁发者。这些证书由证书颁发机构颁发给生成代码、协议或软件的企业，这样就能签署代码并以此显示合法性和真实性。

使用代码签名证书与用于软件数据包上的全息密封类似，目的是确保这些软件是真实的而且来自受信任的颁发者。用户会收到没有有效证书的文件安装尝试警告。这就是为什么网络犯罪分子会利用证书将他们制造的恶意软件代码合法化的原因。通过木马或攻陷软件厂商的证书密钥生成器窃取证书密钥，网络犯罪分子设法访问代码签名证书。

可疑证书

当研究人员发现虚假使用的合法证书后，首先想到的是他们设法直接从证书颁发机构获得了证书。研究人员最后联系了证书所有者，告知证书被盗并落入不法之手。犯罪分子很有可能利用证书注册虚拟企业并颁发银行账户、支票等。区分合法和虚拟企业非常困难，原因是网络犯罪分子采取了所有要求的步骤让证书看起来跟真的无异。

建议

因此，需要一种新的验证方法既让入侵者无处可逃，又不会阻止来自合法厂商的代码。为此，我们需要：

l 确保操作系统和浏览器安全更新

l 不要在根证书区域添加任何新的颁发机构（除非你是安全专家）

l 禁止由任何不明开发人员颁发的文件

l 检查证书的有效性并验证额外属性如证书的散列函数

l 维护受信任的证书列表并定期更新（系统管理员的任务）

l 部署终端安全解决方案