就在上個禮拜,顯示卡大廠 NVIDIA 遭到了駭客團體 Lapsus$ 入侵,竊取並外洩了大量來自公司內部的商業機密資料,其中甚至還包含了 DLSS 技術的原始碼。而現在,這些外流的資料與「程式碼簽章認證」(code-signing certificate) 都已經陸續開始遭到有心人士的利用,不僅藉此獲得了部分機器的遠端控制權限,甚至還用來掩飾一些惡意軟體。
官方程式碼讓惡意軟體能夠通過作業系統的認證
根據 Techpowerup 的報導,這些認證已經被用來散布某種全新類型的惡意軟體,而 Bleeping Computer 網站還在他們的相關報導中列出了 Cobalt Strike 信標、Mimikatz、後門以及遠端訪問木馬 (Remote Access Trojans, RAT) 等利用這種方式部屬的惡意軟體。
簡單說明一下,所謂的「程式碼簽章認證」是開發者們用來簽署可執行檔案以及驅動程式的方式,在完成了這道手續後,才會將這些程式公諸於世。對於 Windows 系統來說,這是一種更加安全的防護措施,確保用戶能夠驗證這些原始檔案的所有權。因為微軟會要求所有核心模式的驅動程式都必須先經過簽章,不然作業系統會直接拒絕運行這類檔案。
如果有心人士能夠取得來自 NVIDIA 的官方程式碼簽章,那作業系統就無法自動偵測這些惡意軟體,如果用戶本身不夠小心,下載到偽裝成驅動程式的惡意軟體,就會導致整台電腦陷入嚴重的資安危機中。
資安研究人員已回報可疑序列碼
當駭客團隊 Lapsus$ 入侵 NVIDIA 時,他們曾一度要求這間公司必須公開釋出能讓旗下顯示卡產品繞過「加密貨幣算力限制」的方式,NVIDIA 當然沒有選擇妥協。在那之後,Lapsus$ 不僅直接公開了他們的程式碼簽章認證,同時還釋出了旗下 7.1 萬員工的個人資料、DLSS 技術原始碼,甚至還有一些與次世代 GPU 名稱有關的文件。
當然,許多潛伏於網路中的駭客很快就將這波外流的認證程式碼當成了武器庫,利用 NVIDIA 官方的正統程式碼當成一種偽裝,向不知情的用戶們散布各種由他們設計的惡意軟體。以目前來說,這些程式碼同時被用來認證 Windows 的驅動程式以及遠端木馬軟體 Quasar,而防毒分析軟體 VirusTotal 目前顯示的資料,已經有 46 個資安供應商和 1 種沙盒機制 (sandbox) 將這個軟體標記為惡意軟體。
在資安研究人員 Kevin Beaumont 以及 Will Dormann 的回報下,Bleeping Computer 網站成功找出了其中兩個疑似為惡意軟體偽裝的驅動程式序列碼,希望用戶們能夠格外留意,避免造成潛在的資安問題:
- 43BB437D609866286DD839E1D00309F5
- 14781bc862e8dc503a559346f5dcc518
這兩個程式碼都是 NVIDIA 曾經使用過的程式碼,即使目前已經過期,但用戶們的作業系統依然會照常允許使用。如果因為某些理由不得不從第三方的網站下載驅動程式時,最好仔細注意一下安裝程式的序列碼。雖然 Windows 確實能夠藉由設定防堵採用特定程式碼簽章的程式,但對於不熟悉操作方式的用戶來說,這似乎並不是個最方便的選擇,也有可能會導致無法安裝來自 NVIDIA 旗下的正統驅動程式。
1 則回應