數字證書魚目混珠 卡巴專家應對有術!
2023-09-18 11:18:51
全球領先的IT安全廠商——卡巴斯基實驗室發現,用於數字籤名的非信任證書在去年呈雙倍增長。截止2014年底,卡巴斯基實驗室的反病毒資料庫已新增超6000種此類型的證書。鑑於具有籤名的惡意威脅正日漸增多,卡巴斯基實驗室的安全專家為系統管理員和廣大提供了若干實用的安全建議,並提醒廣大用戶切勿輕信數字籤名,尤其不能僅依據籤名便允許此類文件運行。
對於數字證書的這一趨勢,卡巴斯基實驗室戰略研究負責人Andrey Ladikov表示:「病毒編寫者會竊取並模仿有效的籤名,以此誤導用戶和反病毒軟體對惡意文件的判定。近幾年,卡巴斯基實驗室注意到高級持續性威脅的實施者也曾使用這一招數。」
舉例而言,臭名昭著的Stuxnet病毒就曾盜用Realtek和JMicron的證書。名為Winnti的網絡犯罪團夥從被入侵的遊戲公司竊取了這些證書,並將其運用於新的攻擊。不僅如此,其他中國黑客團夥運用同一證書發動不同攻擊的事件也時有發生。這表明,黑暗市場的確存在。而另一網絡犯罪團夥——黑暗酒店通常會對其使用的後門程序進行數字籤名,明目張胆地獲得用以創建虛假證書的密匙。
一旦病毒掃描軟體和計算機出現誤判,將會導致新興惡意軟體被成功運行,從而引發潛在的安全隱患。那麼,如何才能避免上述情況的發生?
卡巴斯基實驗室的專家認為,用戶有必要藉助有效的反病毒保護不斷加強對已籤名文件的控制,並遵循以下安全策略:
1.禁用由未知軟體廠商數字籤名的應用程式,因為這些證書多盜取自小型開發商。
2.切勿將來自未知證書中心的證書安裝於存儲區。
3.不可僅依據證書名稱便允許具有受信任證書籤名的程序運行。請仔細檢查證書的其它屬性,如序列號和證書指紋(哈希校驗值總和)。
4.建議安裝Microsoft MS13-098更新程序。它無需破壞文件籤名,即可避免已籤名文件出現錯誤的附加信息。
5.使用一款具有受信任和非受信任證書資料庫的可靠反病毒軟體。不論惡意威脅具有何種數字籤名,卡巴斯基實驗室針對企業和家庭用戶的產品均能將其準確檢出並高效清除,為用戶帶來安全無憂地上網或辦公體驗。