思科 Talos 安全團隊發表了兩篇博文,披露惡意應用在利用開源工具偽造簽名時間戳,而這些惡意應用主要針對中文用戶。從 Windows 10 v1607 開始,微軟更新了驅動簽名政策,不再允許未遞交到 Developer Portal 簽名的新內核模式驅動,但為了保持向后兼容,使用 2015 年 7 月 29 日之前頒發的最終實體證書簽名的驅動程序將繼續允許將鏈式鏈與受支持的交叉簽名 CA 進行關聯。這個例外制造了一個漏洞,允許新編譯的驅動程序使用 2015 年 7 月 29 日之前頒發或過期的未撤銷證書簽名。有兩個開源工具 HookSignTool 和 FuckCertVerifyTimeValidity 都允許偽造簽名日期。主要針對中文用戶的惡意程序利用這些開源工具使用竊取的證書進行簽名,其中之一是 RedDriver。RedDriver 是一種基于驅動程序的瀏覽器劫持程序,使用 Windows Filtering Platform (WFP) 攔截瀏覽器流量,它利用 HookSignTool 偽造簽名時間戳,它有一個硬編碼的中文瀏覽器進程名單,針對的明顯是中文用戶,名單中包含了中國流行的瀏覽器,如 360 瀏覽器和 QQ 瀏覽器。
惡意應用利用開源工具偽造簽名時間戳
2023-07-17 10:09:43
思科 Talos 安全團隊發表了兩篇博文,披露惡意應用在利用開源工具偽造簽名時間戳,而這些惡意應用主要針對中文用戶。從 Windows 10 v1607 開始,微軟更新了驅動簽名政策,不再允許未遞交到 Developer Portal 簽名的新內核模式驅動,但為了保持向后兼容,使用 2015 年 7 月 29 日之前頒發的最終實體證書簽名的驅動程序將繼續允許將鏈式鏈與受支持的交叉簽名 CA 進行關聯。這個例外制造了一個漏洞,允許新編譯的驅動程序使用 2015 年 7 月 29 日之前頒發或過期的未撤銷證書簽名。有兩個開源工具 HookSignTool 和 FuckCertVerifyTimeValidity 都允許偽造簽名日期。主要針對中文用戶的惡意程序利用這些開源工具使用竊取的證書進行簽名,其中之一是 RedDriver。RedDriver 是一種基于驅動程序的瀏覽器劫持程序,使用 Windows Filtering Platform (WFP) 攔截瀏覽器流量,它利用 HookSignTool 偽造簽名時間戳,它有一個硬編碼的中文瀏覽器進程名單,針對的明顯是中文用戶,名單中包含了中國流行的瀏覽器,如 360 瀏覽器和 QQ 瀏覽器。
