代碼簽名是對一個軟件進行加密簽名的實踐，這樣操作系統及其用戶就可以驗證它是安全的。一般來說，代碼簽名工作得很好。大多數情況下，只有正確的軟件才使用相應的加密簽名。

用戶可以安全地下載和安裝，開發者可以保護他們產品的聲譽。然而，黑客和惡意軟件發行商正利用這個精確的系統來幫助惡意代碼溜過防病毒套件和其他安全程序。

代碼簽名惡意軟件和勒索軟件是如何工作的？

什麼是代碼簽名惡意軟件(code signed malware)？

當軟件進行代碼簽名時，意味著軟件帶有正式的加密簽名。證書頒發機構（CA）向軟件頒發證書，以確認軟件合法且使用安全。

更好的是，您的操作系統負責證書、代碼檢查和驗證，因此您不必擔心。例如，Windows使用所謂的證書鏈。證書鏈由確保軟件在每一步都是合法的所需的所有證書組成。

"A certificate chain c***ists of all the certificates needed to certify the subject identified by the end certificate. In practice, this includes the end certificate, the certificates of intermediate CAs, and the certificate of a root CA trusted by all parties in the chain. Every intermediate CA in the chain holds a certificate issued by the CA one level above it in the trust hierarchy. The root CA issues a certificate for itself."

當系統工作時，您可以信任軟件。CA和代碼簽名系統需要大量的信任。通過擴展，惡意軟件是惡意的，不可信的，不應該訪問證書頒發機構或代碼簽名。謝天謝地，在實踐中，這就是系統的工作原理。

當然，在惡意軟件開發者和黑客找到解決方法之前。

黑客從證書頒發機構竊取證書

你的防病毒軟件知道惡意軟件是惡意的，因為它對你的系統有負面影響。它會觸發警告，用戶報告問題，並且防病毒軟件可以創建惡意軟件簽名來保護使用相同防病毒工具的其他計算機。

但是，如果惡意軟件開發人員可以使用官方的加密簽名對惡意代碼進行簽名，那麼這些都不會發生。相反，當你的殺毒軟件和操作系統鋪開紅地毯時，代碼簽名的惡意軟件會從前門進來。

Trend Micro研究發現，整個惡意軟件市場都在支持代碼簽名惡意軟件的開發和分發。惡意軟件操作員可以訪問他們用來簽署惡意代碼的有效證書。下表顯示了截至2018年4月，利用代碼簽名逃避殺毒的惡意軟件數量。

Trend Micro的研究發現，大約66%的惡意軟件是代碼簽名的。此外，某些惡意軟件類型會附帶更多的代碼簽名實例，例如特洛伊木馬、Dropper和勒索軟件。（以下是避免勒索軟件攻擊的七種方法！）

代碼簽名證書來自哪裡？

惡意軟件分銷商和開發人員有兩個選擇，關於正式簽署的代碼。證書要麼從證書頒發機構（直接或轉售）被盜，要麼黑客可以試圖模仿合法組織並偽造其要求。

正如您所料，證書頒發機構是任何黑客的誘人目標。

不僅僅是黑客助長了代碼簽名惡意軟件的增長。據稱，擁有合法證書的無良供應商也向惡意軟件開發人員和分銷商**受信任的代碼簽名證書。來自捷克共和國Masaryk大學和馬里蘭網絡安全中心（MCC）的一組安全研究人員發現，有四家機構向匿名買家**[PDF]Microsoft Authenticode證書。

"Recent measurements of the Windows code signing certificate ecosystem have highlighted various forms of abuse that allow malware authors to produce malicious code carrying valid digital signatures."

一旦惡意軟件開發人員擁有Microsoft Authenticode證書，他們就可以對任何惡意軟件進行簽名，試圖否定Windows安全代碼簽名和基於證書的防禦。

在其他情況下，黑客不會竊取證書，而是會破壞軟件構建服務器。當一個新的軟件版本向公眾發佈時，它帶有一個合法的證書。但是黑客也可以在這個過程中包含他們的惡意代碼。您可以在下面閱讀有關這種類型攻擊的最新示例。

3個代碼簽名惡意軟件示例

那麼，代碼簽名的惡意軟件是什麼樣子的？以下是三個代碼簽名惡意軟件示例：

1. Stuxnet惡意軟件。負責摧毀伊朗核計劃的惡意軟件使用了兩個被盜的證書進行傳播，以及四個不同的零日攻擊。這些證書是從兩個獨立的公司——JMicron和Realtek——偷來的，這兩家公司共用一棟樓。Stuxnet使用偷來的證書來避免當時新引入的Windows要求所有驅動程序都需要驗證（驅動程序簽名）。
2. 華碩服務器漏洞。2018年6月至11月間的某個時候，黑客入侵了華碩用於向用戶推送軟件更新的服務器。卡巴斯基實驗室的研究人員發現，大約500000臺Windows機器在任何人意識到之前就收到了惡意更新。黑客沒有竊取證書，而是在軟件服務器分發系統更新之前，用合法的華碩數字證書籤署了他們的惡意軟件。幸運的是，該惡意軟件具有很強的針對性，硬編碼搜索600臺特定機器。
3. 火焰惡意軟件。Flame modular惡意軟件變種針對中東國家，使用欺詐簽名的證書來避免被發現。（到底什麼是模塊化惡意軟件？）Flame開發人員利用一種弱加密算法對代碼簽名證書進行錯誤簽名，使其看起來像是微軟已經註銷了它們。與攜帶破壞性元素的Stuxnet不同，Flame是一種間諜工具，用於尋找pdf、AutoCAD文件、文本文件和其他重要的工業文檔類型。

如何避免代碼簽名惡意軟件

三種不同的惡意軟件變種，三種不同類型的代碼簽名攻擊。好消息是，至少在目前，大多數這類惡意軟件都具有很強的針對性。

另一方面，由於使用代碼簽名來避免檢測的惡意軟件變種的成功率很高，因此希望更多的惡意軟件開發人員使用這種技術來確保自己的攻擊成功。

除此之外，防範代碼簽名的惡意軟件也是極其困難的。保持您的系統和防病毒套件的最新是必不可少的，避免點擊未知的鏈接，並仔細檢查任何鏈接，然後再跟隨它。

除了更新您的防病毒軟件，請查看我們的列表，您可以如何避免惡意軟件！