APT攻击漏洞预警:各种系统和设备更新程序必须严格验证代码签名
发布日期:2020-04-07近日,360安全大脑捕获到一起劫持深信服VPN的安全服务从而下发恶意文件的APT攻击活动,锁定中国驻外机构、政府相关单位发动定向攻击。今年3月开始,已失陷的VPN服务器超200台,中国多处驻外机构遭到攻击,4月初攻击态势又再向北京、上海相关政府机构蔓延,攻击者已控制了大量相关单位的VPN服务器并控制了大量相关单位的计算机终端设备。
攻击事件详情
360安全大脑追踪分析发现,此次攻击活动是深信服VPN客户端中深藏的一个漏洞被APT组织所利用。该漏洞存在于VPN客户端启动连接服务器时默认触发的一个升级行为,当用户使用启动VPN客户端连接VPN服务器时,客户端会从所连接的VPN服务器上固定位置的配置文件获取升级信息,并下载一个名为SangforUD.exe的程序执行。
由于开发人员缺乏安全意识,整个升级过程存在安全漏洞,客户端仅对更新程序做了简单的版本对比,没有做任何的安全检查。导致黑客攻破VPN服务器后,篡改了升级配置文件并替换升级程序,将VPN服务器上的正常程序替换成了伪造的后门程序,攻击者模仿正常程序对后门程序进行了数字签名伪装,成功实现攻击。
木马(左)和正常升级程序(右)签名对比软件升级攻击频发,该如何预防?
利用不同软件系统的安全漏洞,劫持软件升级程序替换成伪造更新程序,并不是新鲜的攻击手法。有迹象表明,Petya勒索病毒变种的传播,就是通过入侵乌克兰的专用会计软件me-doc,伪装为me-doc的升级程序向其用户下发升级通知实现攻击和传播。沃通CA分析认为,在此次攻击场景中,VPN服务器默认升级过程中未检测更新程序的软件代码数字签名信息,是导致黑客能够得逞的重大安全漏洞之一。
代码签名机制是基于PKI技术的成熟机制,验证开发者身份真实性、保护代码完整性,帮助开发者和最终用户建立安全信任的软件发布环境和使用环境。软件开发者经过权威CA机构身份认证后获取代码签名证书,使用代码签名证书对软件程序进行数字签名,通过数字签名验证软件来源可信、软件没有被非法篡改或植入病毒木马,保护用户不会被病毒、恶意代码和间谍软件所侵害。
目前高版本的Windows系统环境下已经形成成熟严格的验证流程,通过用户账户控制、Smartscreen等安全策略严格验证软件代码的数字签名,并针对无数字签名或含有非法无效数字签名的软件程序进行警告或拦截。而在其他应用场景中,软件代码的验证机制还不够完善,尤其是本文提到VPN设备系统以及类似应用场景下的OTA升级流程,基础设施未及时更新存在的安全漏洞、管理人员的薄弱安全意识、对软件程序缺乏有效验证,从而造成此次严重的攻击事件。
沃通CA建议:一方面,所有软件程序在发布时,都应该采用全球信任的代码签名证书对软件程序进行数字签名;另一方面,无论是Windows或安卓等操作系统环境,或是VPN设备、软件系统等应用环境,只要涉及软件安装、更新升级等过程,都必须对软件程序的数字签名进行严格验证,从而确保整个软件运行生态的安全可信。比如:验证更新程序的数字签名是否合法有效、CN字段是否是准确的单位名称、证书签发者是否可信;还可以对证书签发来源进行严格管理,比如:验证证书链的每个层级,一直验证到证书顶级根,确保证书完全可信;设置仅信任指定几家CA机构或顶级根签发的证书,防止证书伪造等等。
沃通代码签名证书,保护软件代码安全
沃通代码签名证书是由全球信任顶级根签发,根证书预置在操作系统和浏览器的受信任列表,以及大部分设备和应用程序中,无缝实现签名代码的验证和信任。根据验证等级和功能不同,沃通代码签名证书分为单位代码签名证书和EV代码签名证书。
两类代码签名证书都需要验证软件开发机构的单位真实身份,都支持多用途的普通代码签名,但沃通EV代码签名证书需要遵循更加严格的扩展验证标准,并采用更安全的私钥存储方式( USB Key硬件存储),也具备更丰富的应用功能,比如:支持Windows硬件认证(即徽标认证),用于建立Windows硬件开发人员中心仪表板账号,支持在Windows SmartScreen筛选器中快速建立信誉,让程序流畅运行等。
关于沃通
沃通电子认证服务有限公司(沃通CA)是获得工信部和国密局许可的电子认证服务机构(CA),也是专注于PKI技术应用的互联网安全产品和服务提供商。沃通CA不仅签发全球信任的SSL证书、代码签名证书等数字证书产品,并独家首推国密SM2 SSL证书、国密代码签名证书、国密客户端证书等国密数字证书产品以及“SM2/RSA双证书”服务;结合全资子公司密信技术自主研发的国密全生态应用软件产品:密信浏览器、密信邮件客户端和密信阅读器,为政府机构、企事业单位及各领域行业用户提供全球信任并支持国密算法的网站HTTPS加密、电子邮件加密、电子签名等应用解决方案,保障我国互联网安全可信、自主可控。
最新资讯
什么是代码签名_证书代码签名证书安装部署、选购指南_代码签名知识库
沃通软件代码签名证书,可进行软件代码签名,软件数字签名,提交360软件平台认证
标签推荐:数字证书申请 | 域名ssl证书 | https证书申请| 数字证书过期| 网站证书安装| 可靠的ssl证书| 小程序证书| ca认证电子签名| 微软代码签名| android数字签名| java代码签名| ssl证书部署| 时间戳技术| 电子签名技术| https证书配置| 谷歌浏览器证书| tomcat数字证书| openssl漏洞| ECC加密算法| 服务器SSL证书| 链路层劫持| 物联网安全技术| 火狐插件签名证书