代碼簽名是加密簽名軟件的做法，目的是使操作系統(如Windows)有一種有效和準確的方法來區分合法的應用程序(如Microsoft Office的安裝程序)和惡意軟件。所有現代操作系統和瀏覽器都會通過證書鏈。

有效證書由受信任的證書頒發機構(CA)頒發或簽名，由父CA備份。這一機制完全和嚴格地依賴于信托。根據定義，我們假定惡意軟件操作員是不可信任的實體。據推測，這些不值得信任的實體無法訪問有效的證書。然而，根據分析表明，情況并非如此。

有一個完整的市場支持惡意軟件運營商的操作，他們已經獲得了有效證書的訪問權，然后使用這些證書來簽署惡意軟件。經過層層分析，觀察到了大量由可信當局簽名的惡意軟件繞過了最近在開放源碼軟件和瀏覽器中構建的任何客戶端驗證機制。

圖1.簽署的良性、未知和惡意軟件百分比(有類型)

從圖1可以看出，比合法或良性應用更多的惡意軟件被簽名(66%比30.7%)。通過瀏覽器等直接鏈接提供的惡意軟件也是如此(81%對32.1%)。這表明網絡罪犯通常提供正確簽名的軟件，因此運行和繞過代碼簽名驗證。

由于圖1提供了按惡意軟件類型的細分，該分發版建議惡意軟件運營商傾向于將更多精力用于在目標計算機上首先執行的惡意軟件簽名(如本系列的第一部分所強調的下拉列表和廣告軟件)，而不是更具有侵略性的惡意軟件類型，這些惡意軟件可能會在已經受到危害的環境中執行。從商業角度來看，這是有意義的，因為訪問有效的代碼簽名是昂貴的，因此要求網絡罪犯戰略性地使用他們的預算。

圖2.惡意軟件的主要簽字人

圖3.主要的獨家簽名者，良性軟件下載

圖4.主要的獨家簽名者，惡意軟件下載

圖3、4給出了良性應用程序和惡意應用程序的一般名稱列表，而圖2則提供了關于惡意軟件類型的更詳細的視圖。雖然一些簽字人如Somoto Ltd.、ISBRInstaller和Somoto以色列通常被發現在不同類型的惡意軟件中作為簽字人，而另一些則被發現用于更具體的類型。SecureInstall被發現被拋出者使用，Benjamin Delpy被發現被機器人所使用。

雖然審查惡意軟件的主要簽署者是至關重要的，但是也必須指出發行者更嚴重的關切，即簽署良性軟件和不必要的惡意軟件。

圖5.良性應用程序和不需要的惡意應用程序之間的常見簽名者

注意：對于良性軟件和不想要的惡意軟件，都存在簽名證書的原因。它們要么被偷，要么在地下被重新出售，或者合法的組織提供善意和可疑的應用，比如小狗。

代碼簽名濫用在地下是如何反映的

近年來，在野外報道了臭名昭著的代碼簽名濫用事件。

2010年，Stuxnet當它被發現使用被盜的數字簽名時，引起了媒體的極大關注。Realtek半導體公司以WinCC監控和數據采集為目標SCADA)系統。Realtek是一家合法的全球微芯片制造商，總部位于臺灣。當證書被撤銷時，Stuxnet開始使用JMicron技術公司，另一家專門從事微芯片設計的臺灣公司。死后分析建議網絡罪犯利用這些組織竊取他們的開發證書，包括用來簽署可執行文件的私鑰。

2014年，在索尼影業遭到大規模黑客攻擊后，一場名為“德斯托”的惡意軟件活動的樣本被發現與索尼的有效證書簽署。這個惡意軟件據報針對索尼的攻擊導致公司和個人數據泄露，并破壞公司PC上的數據。

CopyKitten，Suckfly，Turla和Regin其他著名的活動也成功地將簽名證書用于惡意目的。

驗證證書請求時的問題

觀察到的一個普遍問題是CA在不同程度上無法正確驗證它們接收的證書請求。但并不知道這是否是自愿的，責任線在哪里終止。

而公鑰基礎設施(PKI)提供三類證書由于其中兩個需要對請求證書的實際組織或業務進行擴展的驗證過程，還遇到了發給易于追蹤網絡犯罪(如惡意軟件分發)的組織的證書。

在經過調查中，發現觀察到與這一現象有關的一些主要的CA是COMODO和CELTON。在使用這些CA頒發的證書簽名的數千個二進制文件中，大約14%(COMODO)和12%(CELOM)的二進制文件是惡意的。在大規模惡意軟件運動期間，這些數值超過了36%。還有幾個案例，Digicert、Symantec和VeriSignal證書被頒發給后來使用它們簽署惡意軟件的實體。

偽造證書的來源

欺詐證書的兩個最常見原因如下：

1.偷來的證書：證書是從合法組織竊取的，在那里，惡意軟件感染造成了系統危害。

2.偽造證書：CA向模仿合法組織的網絡罪犯頒發證書。社會工程技術通常由攻擊者使用。

看一下在野外觀察到的一些情況。俄羅斯最大的金融經紀商之一成為網絡犯罪分子的目標。Razy洗劫器。經過了一系列的聯系了解后他們證實他們沒有要求這樣的證書。

圖6.用于簽署Razy Ransomware變體的欺詐性證書

在另一種情況下，攻擊者模仿Oracle供應商獲取兩個證書，其中一個證書是作為甲骨文美國公司2014年，另一份作為“甲骨文產業”2017年。這些操作背后的網絡罪犯簽署惡意文件，如間諜軟件，廣告軟件，不想要的瀏覽器工具欄和其他小狗。這些二進制文件被隱藏為合法的Oracle應用程序。其中一個文件是以Java程序命名的。

圖7.惡意軟件隱藏為Java應用程序，與Oracle America，Inc.的證書簽署

還發現了用證書簽名的惡意文件。邯鄲市從臺區立康日用品部。然而，證書已經被撤銷，可能是因為簽發人對可能發生的數據泄露或盜竊采取了行動。

圖8.被撤銷的證書的示例，據稱該證書用于惡意軟件

分發已簽名的惡意軟件的組織

也有一些組織擁有合法的產品，但進一步的審查發現了它們的其他一些方面。在某種程度上，這些組織似乎處于PUP和其他不受歡迎的軟件(如廣告軟件)的灰色地帶。布朗福克斯。在一定程度上，他們生產和商業化合法的軟件，如工具欄，下載，和檔案，但他們也發現嵌入在他們的“免費版”版本。他們的軟件由適當的CA簽發的證書進行數字簽名。

一些例子：

1.思維火花互動網絡公司是一家開發和銷售娛樂和個人計算軟件的公司。

2.收件箱-提供電子郵件等免費通訊平臺的供應商

3.Auslogics-一種用于提高個人電腦性能的供應商廣告軟件(如Booster)

圖9.由看似合法的組織簽名的數千個惡意文件

圖10.收件箱中不需要的工具欄示例

圖11.澳氏廣告頁

地下銷售的偽造證書

我們在地下發現了一些廣告，比如在論壇和網絡市場上的廣告，這些廣告出售偽造的證書。

圖12.在地下以1600美元出售的擴展驗證(EV)證書樣本

圖13.廣告銷售標準及電動汽車證書

地下偽造證書的廣告表明，網絡犯罪分子看到了代碼簽名機制在惡意軟件活動中是多么有用。

區塊鏈安全實驗室WF曲速未來提醒：代碼簽名是一種非常有效的防范惡意軟件的技術，但正如上面的研究所揭示的，它不是萬無一失的，而且可以被濫用。用戶和企業應該仔細評估在他們的系統上安裝的任何軟件，以及標準的預防措施，比如更新操作系統和實現網絡安全解決方案。

惡意軟件檢測系統需要有標簽的文件才能保護互聯網連接的機器免受感染。然而，來自不受歡迎的網站的大量軟件文件仍未貼上標簽，仍然存在未知或未定義的威脅。我們對濫用代碼簽名的研究是通過使用機器學習技術來分析文件的分類系統來實現的。