流年不利?Nvidia 遭竊憑證被駭客用來簽發散佈惡意程式

上周GPU大廠Nvidia被駭客組織Lapsus$竊走員工電子郵件、產品設計圖及驗證資料,並且公開釋出,馬上看到第一個對大眾的影響。

上周 GPU 大廠 Nvidia 被駭客組織 Lapsus$竊走員工電子郵件、產品設計圖及驗證資料,並且公開釋出,馬上看到第一個對大眾的影響。

研究人員在惡意軟體樣本資料庫 VirusTotal 發現至少有兩個二進位檔是以 Nvidia 的憑證所簽發。顯然駭客開始使用 Nvidia 的簽章憑證來簽發惡意程式,並用來冒充 Nvidia 所提供的檔案。

以 Nvidia 憑證簽發的二進位檔之一是 Mimikaz,能讓攻擊者列舉並檢視系統上儲存的登入密碼以便橫向移動。其他還包括 Cobalt Strike beacon、後門程式、以及遠端存取木馬 (RAT),包括 Quasar RAT 及一個 Windows 驅動程式。

簽發程式碼的憑證讓程式開發商可簽發驅動程式及執行檔,讓 Windows 和用戶驗證檔案所有者,以及確認檔案未被其他人竄改過。如果在 Windows 上執行未簽發過的程式,或程式使用的憑證過期,Windows 會發出安全警示,而不會正常運作。

但在 Windows 現行簽發政策中,卻為惡意程式作者開了個大門。根據微軟 Windows 的驅動程式簽發政策,在 2015 年 7 月 29 日以前發出的用戶端 (end-entity) 憑證所簽發的驅動程式,只要是串鍊到交互簽發的 CA,Windows 就會執行這些驅動程式。

研究人員發現,Nvidia 這些憑證早在 2014 年就已經過期,但 Windows 仍然允許這些憑證用來簽發驅動程式。

要防範 Nvidia 被竊憑證繼續為害並不容易。雖然你可以設定 Windows Defender 應用程式控管政策來防止特定 Nvidia 驅動程式下載,但需要相當高的功力。微軟也可以將被竊的憑證列入憑證撤銷名單,但又會影響合法的 Nvidia 驅動程式(以及其最優異的顯卡)。因此微軟可能短期內不會採取第二項個選項。

來源:Computing

關於我們

自 1990 年創刊 UXmaster 雜誌,1991 年獲得美國 LAN Magazine 獨家授權中文版,2006 年獲得 CMP Network Computing 授權,2009 年合併 CMP Network Magazine 獨家授權中文版,2014 年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT 人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416