英偉達數據被盜後續:黑客用證書將病毒偽裝成顯卡驅動
英偉達機密數據被盜,讓廣大網友吃了不少瓜。但從現在起,每個人都要小心了,別只顧著吃瓜了。因為黑客們正在用被盜數據製造能騙過系統的病毒。這次洩漏的數據中,包括英偉達開發人員用於簽署驅動程序和可執行文件的兩個簽名證書。
△ 黑客獲得的簽名證書之一
拿到證書後,黑客就可以把惡意程序偽裝成英偉達開發的軟件,比如顯卡驅動,從而騙過系統。在線查毒平台VirusTotal 顯示,黑客已經開始嘗試用證書給遠程訪問木馬簽名了。安全人員也注意到了這一點。
現在黑客和安全人員正在進行著一場攻防大戰。黑客們將打包好的病毒上傳到VirusTotal,這裡幾乎集成了市面上所有殺毒軟件。如果沒被殺毒軟件查出來,那就說明惡意代碼比較安全,可以投放使用了。
除了上面所說的木馬外,還有人用證書對Windows驅動程序進行簽名。雖然用於簽名的證書已經過期,但仍然會對Windows 系統造成風險。
因為Windows 系統為了保證向下兼容性,防止系統無法啟動,在某些情況下會接受2015 年7 月29 日之前證書籤發的驅動程序。所以用著過期證書,病毒也一樣能偽裝成合法的英偉達驅動程序。
那用戶應該怎麼辦,才能防止中毒呢?微軟企業和操作系統安全總監David Weston 在Twitter 上給出了對策:以管理員身份配置Windows Defender 應用程序控制策略,這樣就能控制可以加載哪些驅動程序,防止病毒被加載到系統中。
然而,使用這種方法比較複雜,並不適合電腦小白。有人建議微軟撤銷對這兩個英偉達過期證書的許可,但這又有可能導致真的英偉達驅動程序被阻止。
微軟真的有點難辦。不過好消息是,雖然系統自帶反病毒軟件不好使,但由VirusTotal 的掃描結果顯示,現在的殺毒軟件很多能發現偽裝的病毒,事情可能並沒有想像的那麼糟。
參考鏈接:
[1]https://www.theregister.com/2022/03/05/nvidia_stolen_certificate/
[2]https://www.bleepingcomputer.com/news/security/malware-now-using-nvidias-stolen-code-signing-certificates/