卡巴斯基:Duqu2.0病毒使用的數(shù)字證書(shū)竊取自富士康

責(zé)任編輯:editor005

作者:cindy

2015-06-17 13:37:31

摘自:FreeBuf

Stuxnet使用2種數(shù)字證書(shū):一個(gè)來(lái)自瑞昱半導(dǎo)體公司,一個(gè)來(lái)自智微科技;Duqu1 0的數(shù)字證書(shū)來(lái)自于驊訊電子;Duqu2 0的數(shù)字證書(shū)來(lái)自于富士康。

卡巴斯基實(shí)驗(yàn)室近日公開(kāi)承認(rèn)其公司網(wǎng)絡(luò)遭APT攻擊,而且被入侵長(zhǎng)達(dá)數(shù)月未發(fā)現(xiàn),經(jīng)卡巴斯基實(shí)驗(yàn)室研究人員進(jìn)一步的研究發(fā)現(xiàn),入侵卡巴斯基和入侵伊朗核問(wèn)題“六方”會(huì)談(P5+1)承辦酒店電腦的都是超級(jí)計(jì)算機(jī)病毒Duqu 2.0,而且其所使用的合法數(shù)字證書(shū)竟然盜自富士康公司。

百科:關(guān)于伊朗核問(wèn)題六方會(huì)談、富士康科技

由美國(guó)、俄羅斯、中國(guó)、英國(guó)、法國(guó)和德國(guó)參加的“P5+1”(伊朗核問(wèn)題六方會(huì)談)會(huì)談,一直斷斷續(xù)續(xù)進(jìn)行。自去年以來(lái),“P5+1”會(huì)談分別在日內(nèi)瓦、洛桑、慕尼黑和維也納等地舉行。

富士康科技是臺(tái)灣鴻海精密集團(tuán)在大陸投資興辦的高新科技企業(yè),其客戶(hù)包括蘋(píng)果、黑莓、谷歌、華為以及微軟等多家全球最大的電子制造商。

卡巴斯基:Duqu2.0病毒使用的數(shù)字證書(shū)竊取自富士康

  Duqu病毒家族簡(jiǎn)介

攻擊卡巴斯基的病毒是Duqu2.0,疑似和2011年發(fā)現(xiàn)的Duqu病毒同屬一個(gè)開(kāi)發(fā)者。Duqu最早出現(xiàn)在2011年9月,是繼Stuxnet蠕蟲(chóng)后最為惡性的一種可竊取信息的蠕蟲(chóng)??梢哉f(shuō)是Stuxnet之子,所以危害程度就不言而喻了。

Stuxnet可能是美國(guó)黑客和以色列黑客共同開(kāi)發(fā)的,而Duqu1.0和Duqu2.0可能是以色列獨(dú)立自主開(kāi)發(fā)的。而這三種病毒使用的數(shù)字證書(shū)均來(lái)自臺(tái)灣。Stuxnet使用2種數(shù)字證書(shū):一個(gè)來(lái)自瑞昱半導(dǎo)體公司,一個(gè)來(lái)自智微科技;Duqu1.0的數(shù)字證書(shū)來(lái)自于驊訊電子;Duqu2.0的數(shù)字證書(shū)來(lái)自于富士康。

為什么要竊取數(shù)字證書(shū)?

數(shù)字證書(shū)是互聯(lián)網(wǎng)通訊中標(biāo)志通訊各方身份信息的一串?dāng)?shù)字,提供了一種在Internet上驗(yàn)證通信實(shí)體身份的方式,也是電子商務(wù)和大規(guī)模網(wǎng)上自動(dòng)化交易的基礎(chǔ)。它會(huì)在瀏覽器和電腦操作系統(tǒng)上標(biāo)記哪些軟件是可信的,所以,如果攻擊者想在目標(biāo)電腦上安裝惡意軟件而不被發(fā)現(xiàn)的話,就需要得到合法數(shù)字證書(shū)的簽名。

近年來(lái)盜竊數(shù)字證書(shū)的案例愈發(fā)頻繁,網(wǎng)絡(luò)間諜們會(huì)利用盜來(lái)的數(shù)字證書(shū)將惡意軟件偽裝成來(lái)自合法電腦的安全軟件,然后實(shí)施間諜活動(dòng)。

卡巴斯基:Duqu2.0病毒使用的數(shù)字證書(shū)竊取自富士康

卡巴斯基系統(tǒng)遭病毒攻擊時(shí)使用的是富士康的證書(shū),而就在幾天前又有人在VirusTotal上上傳了一個(gè)驅(qū)動(dòng)文件,而這個(gè)驅(qū)動(dòng)文件使用的數(shù)字證書(shū)也是富士康的證書(shū),也就是說(shuō)Duqu2.0又找到了一個(gè)新的目標(biāo)。

卡巴斯基在周一的總結(jié)報(bào)告中稱(chēng),“Duqu攻擊者是唯一訪問(wèn)這些證書(shū)的人,這進(jìn)一步印證,他們侵入硬件制造商的目的是為了獲取這些數(shù)字證書(shū)。”關(guān)于失竊數(shù)字證書(shū)事宜,目前卡巴斯基已通知了富士康,但富士康尚未發(fā)表任何評(píng)論。

為什么攻擊者入侵卡巴斯基實(shí)驗(yàn)室非要使用來(lái)自富士康的數(shù)字證書(shū)呢?原因很簡(jiǎn)單,因?yàn)榭ò退够褂玫姆?wù)器是64位windows服務(wù)器,而在服務(wù)器上進(jìn)行惡意操作必須得有效數(shù)字證書(shū)簽名的驅(qū)動(dòng),而富士康數(shù)字證書(shū)在業(yè)內(nèi)很是出名,所以就莫名的躺槍了……

取勝之鑰:入侵驅(qū)動(dòng)

驅(qū)動(dòng)是成功入侵卡巴斯基的關(guān)鍵。因?yàn)镈uqu2.0工具大多存儲(chǔ)在卡巴斯基系統(tǒng)的內(nèi)存里,一旦受害者的系統(tǒng)重新啟動(dòng)了,那惡意軟件就會(huì)隨之消失,磁盤(pán)上也不會(huì)留下任何的文件。為了解決這一問(wèn)題,攻擊者就需要將驅(qū)動(dòng)放到同一網(wǎng)絡(luò)下其他的機(jī)器上,這樣如果一臺(tái)機(jī)器重啟了,驅(qū)動(dòng)就會(huì)在另一臺(tái)未被感染的機(jī)器上重新啟動(dòng)。

有了0day還有必要使用數(shù)字證書(shū)嗎?

估計(jì)所有的人都會(huì)發(fā)出同樣的疑問(wèn),Duqu2.0明明就擁有了3個(gè)windows 0day漏洞,無(wú)需數(shù)字證書(shū)照樣可以成功入侵系統(tǒng),干嘛還多此一舉去盜竊別人的證書(shū)呢?研究人員猜想可能是做的第二手準(zhǔn)備(Plan B),如果受害者系統(tǒng)上的0day漏洞被修復(fù)了,那就可以用第二種方案入侵。戲劇性的是,就是Plan B暴露了他們的行蹤。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)