攻擊事件

上周，上海貝銳（代表產(chǎn)品有：花生殼、向日葵等）疑似遭遇供應(yīng)鏈攻擊事件。由于該公司旗下軟件用戶量極大，一時(shí)間大家都在關(guān)注此次事件是否會(huì)進(jìn)一步引發(fā)更為嚴(yán)重的次生安全事件。

圖1. 樣本文件帶有的“上海貝銳信息科技股份有限公司”數(shù)字簽名?

但經(jīng)過360的安全研究人員分析確認(rèn)，此次事件實(shí)際上是一起典型的“數(shù)字簽名冒用”事件。分析人員將惡意樣本文件所簽署的數(shù)字簽名證書與官方正常程序所使用簽名證書進(jìn)行對(duì)比，發(fā)現(xiàn)兩者的頒發(fā)機(jī)構(gòu)與簽發(fā)時(shí)間均不相同。而類似的簽名冒用問題僅在過去一年中便已經(jīng)發(fā)生過數(shù)百起。

圖2. 仿冒數(shù)字簽名證書 v.s. 官方數(shù)字簽名證書?

什么是“數(shù)字簽名”？

那么，僅僅一個(gè)文件的數(shù)字簽名，為何能引起一起沸沸揚(yáng)揚(yáng)的安全事件，進(jìn)而引發(fā)各方的廣泛關(guān)注呢？這主要是因?yàn)閿?shù)字簽名本身的特殊性質(zhì)所決定的?！皵?shù)字簽名”實(shí)際上可以看作是一段數(shù)據(jù)或一個(gè)文件的“數(shù)字身份證”。開發(fā)者通過對(duì)文件進(jìn)行簽名，不僅能夠證明文件的來源，還能有效防止文件在傳輸或存儲(chǔ)過程中被篡改?！皵?shù)字簽名”已成為現(xiàn)代互聯(lián)網(wǎng)安全的基石之一——尤其是對(duì)于大型企業(yè)和重要機(jī)構(gòu)發(fā)布的文件，通常會(huì)因其所帶有的簽名而被包括安全廠商在內(nèi)的全網(wǎng)所廣泛信任?？梢哉f，在當(dāng)今互聯(lián)網(wǎng)的方方面面——每一次通訊、每一次傳輸，都離不開數(shù)字簽名的安全保障。

而數(shù)字簽名這種機(jī)制本身的安全性，則主要依賴于以下幾個(gè)關(guān)鍵因素：

1.???? 算法本身的安全性
算法的安全性是數(shù)字簽名的基礎(chǔ)。例如曾經(jīng)廣泛使用的MD5算法由于被發(fā)現(xiàn)存在碰撞漏洞（即不同的輸入可以產(chǎn)生相同的哈希值），便在多個(gè)安全領(lǐng)域內(nèi)被淘汰。這也導(dǎo)致了在MD5算法爆出碰撞問題后，便被移除出了簽名信任體系。當(dāng)前的數(shù)字簽名已全部轉(zhuǎn)為采用SHA-256為代表的更為安全的哈希算法。

2.???? 算法實(shí)現(xiàn)的安全性
在確保算法本身安全性的前提下，如何通過準(zhǔn)確的代碼安全實(shí)現(xiàn)這些算法也至關(guān)重要。在算法實(shí)現(xiàn)的歷史上，就曾出現(xiàn)過知名的微軟ECC算法漏洞。該漏洞由于代碼在實(shí)現(xiàn)上存在缺陷，使得攻擊者能夠通過一定的方式繞過算法保護(hù)。幸好微軟公司及時(shí)發(fā)布了補(bǔ)丁對(duì)其代碼進(jìn)行修復(fù)，避免了更大范圍的濫用和攻擊事件發(fā)生。因此，算法的實(shí)現(xiàn)必須經(jīng)過嚴(yán)格的審查與測(cè)試，以確保其安全性得到有效保障。

3.???? 私鑰的保密性
而無論用何種方式實(shí)現(xiàn)了何種算法，當(dāng)前的數(shù)字簽名體系都依賴于公私密鑰對(duì)的結(jié)構(gòu)實(shí)現(xiàn)其對(duì)文件的簽署和驗(yàn)證操作。而密鑰對(duì)中私鑰顯示便是數(shù)字簽名的關(guān)鍵——它保證了簽名的唯一性和安全性。與之相對(duì)的，一旦私鑰泄露，便可能被任何人利用來偽造簽名，導(dǎo)致數(shù)字簽名的信任體系崩潰。歷史上各地區(qū)多次發(fā)生過知名企業(yè)私鑰泄露的事件，如：Sony、微軟、Adobe等公司都因簽名密鑰泄露而遭遇安全問題。密鑰管理與存儲(chǔ)的安全性，尤其是在防止私鑰泄露方面，是數(shù)字簽名系統(tǒng)能否正常運(yùn)作的核心。

4.???? 可信的證書頒發(fā)機(jī)構(gòu)（CA）
最后，數(shù)字簽名的安全性還依賴于簽名證書的頒發(fā)方——證書頒發(fā)機(jī)構(gòu)（CA）。CA負(fù)責(zé)對(duì)簽名申請(qǐng)者的身份進(jìn)行驗(yàn)證，并通過對(duì)申請(qǐng)者進(jìn)行審查確保簽發(fā)的證書是合法且可信的。然而，CA機(jī)構(gòu)并非無所不能，可信CA的安全性問題也是當(dāng)前數(shù)字簽名體系面臨的重要挑戰(zhàn)。

簽名冒用問題解析

以這次簽名冒用事件為例，我們嘗試對(duì)大家關(guān)注比較少的利用可信CA疏漏所發(fā)起的這類攻擊的事件進(jìn)行一次解析。

什么是簽名冒用？

簽名冒用是指攻擊者通過偽造、盜用他人身份信息或提交虛假材料，騙取證書頒發(fā)機(jī)構(gòu)（CA，Certificate Authority）的信任，從而獲得不屬于自己的數(shù)字簽名證書。

簽名冒用的形式多種多樣，常見的形式包括：

l? 完全相同的簽名信息：攻擊者申請(qǐng)并獲得與冒用目標(biāo)完全相同的簽名信息。

l? 相似或變體的簽名信息：攻擊者通過在冒用目標(biāo)名稱中添加空白字符或使用小眾編碼、大小寫轉(zhuǎn)換等方式替換冒用目標(biāo)的名稱字符，最終實(shí)現(xiàn)對(duì)簽名的整體仿冒。

而在本次事件中，攻擊者所使用的則是與被冒用目標(biāo)名稱完全相同的虛假簽名。通常，這種情況是由于兩個(gè)不同的證書頒發(fā)機(jī)構(gòu)（CA）分別頒發(fā)了相同名稱的證書所導(dǎo)致的，這也使攻擊者能夠成為一個(gè)完全合法的“虛假簽名”持有者，這一點(diǎn)無論對(duì)于普通用戶還是對(duì)于安全廠商無疑都具有極強(qiáng)的隱蔽性和迷惑性。

如何實(shí)現(xiàn)簽名的冒用？

落實(shí)到冒用簽名的實(shí)施層面，攻擊者可選用的手段可謂是多種多樣。冒用者可以通過各種方式來繞過證書頒發(fā)機(jī)構(gòu)的審核，獲得合法的數(shù)字簽名證書。這其中較為常見的攻擊方式包括：

l? 利用海外證書頒發(fā)機(jī)構(gòu)的信息差

通常，一些海外證書頒發(fā)機(jī)構(gòu)對(duì)那些我們看來似乎是家喻戶曉的國內(nèi)公司可能并不熟悉。也缺乏嚴(yán)密的復(fù)核機(jī)制。這就導(dǎo)致攻擊者可以利用信息差，提交虛假申請(qǐng)材料來成功騙取證書的發(fā)放。

例如，國內(nèi)企業(yè)在申請(qǐng)證書時(shí)，某些海外頒發(fā)機(jī)構(gòu)可能無法驗(yàn)證其真實(shí)性或詳細(xì)背景，攻擊者便能利用這一漏洞，通過虛假身份、文件或資料申請(qǐng)到有效證書。

l? 代理商合謀或疏忽協(xié)助證書冒用

與眾多公司業(yè)務(wù)類似，數(shù)字證書的申請(qǐng)也是可以通過代理商代為辦理的。而一些無良代理商便可能與攻擊者里外勾結(jié)，通過偽造甚至是直接復(fù)制合法申請(qǐng)者的申請(qǐng)材料來幫助攻擊者獲得其想要冒用的數(shù)字簽名證書。

當(dāng)然，更多的情況則是代理商本身也是因自身疏忽而未能充分驗(yàn)證申請(qǐng)者的身份信息，導(dǎo)致了冒用簽名證書的頒發(fā)。

l? 偽造文件和營業(yè)執(zhí)照等信息

除上述情況外，攻擊者還可以更為直接地偽造各種文件和營業(yè)執(zhí)照等證明材料。證書頒發(fā)機(jī)構(gòu)畢竟不是工商管理部門，很難對(duì)這些法律文件進(jìn)行非常嚴(yán)密的審核真實(shí)性審核，而一旦審核人員出現(xiàn)疏忽大意，攻擊者便可以成功地獲取到想要冒用的簽名證書并進(jìn)行惡意使用。

簽名冒用攻擊的三大階段

通過對(duì)過往發(fā)生過的簽名冒用攻擊事件進(jìn)行總結(jié)歸納，我們發(fā)現(xiàn)此類攻擊通常分為三個(gè)主要階段。

階段一：獲取簽名

如前文所述，攻擊者首先會(huì)通過各種偽造文件、資質(zhì)信息等各種手段，成功地從證書頒發(fā)機(jī)構(gòu)手中申請(qǐng)到與目標(biāo)組織名稱相同或相近的數(shù)字簽名證書。

階段二：“養(yǎng)證書”

最為反直覺的是——在正式發(fā)動(dòng)攻擊前，攻擊者往往還會(huì)利用獲取到的虛假證書為大量的正常程序進(jìn)行簽名和傳播。此階段的目的是在短時(shí)間內(nèi)“養(yǎng)”出一個(gè)看似安全可信的證書，以此來騙取各安全廠商和用戶的信任，進(jìn)而降低其被安全檢測(cè)系統(tǒng)標(biāo)記為可疑的風(fēng)險(xiǎn)性。

階段三：實(shí)施攻擊

而在上述的“養(yǎng)”證書階段初具成效后，攻擊者便會(huì)轉(zhuǎn)而使用這些“養(yǎng)成”的證書對(duì)真正的惡意程序（如仿冒官方程序的病毒或木馬）進(jìn)行簽名。并采取釣魚攻擊、社會(huì)工程學(xué)攻擊等方式進(jìn)行傳播。由于這些程序具備合法的數(shù)字簽名，用戶在運(yùn)行時(shí)往往難以察覺其中的異常，從而導(dǎo)致非常嚴(yán)重的安全事件。

統(tǒng)計(jì)數(shù)據(jù)

通過對(duì)360云端大數(shù)據(jù)進(jìn)行篩查和統(tǒng)計(jì)，我們發(fā)現(xiàn)了數(shù)百例在近些年活躍在網(wǎng)絡(luò)中的仿冒數(shù)字簽名。

仿冒簽名簽發(fā)年份

對(duì)這些仿冒數(shù)字簽名的簽發(fā)時(shí)間進(jìn)行統(tǒng)計(jì)，發(fā)現(xiàn)2020年和2022年所簽發(fā)的仿冒數(shù)字簽名數(shù)量尤為突出。

圖3. 仿冒數(shù)字簽名簽署年份分布?

仿冒簽名頒發(fā)機(jī)構(gòu)

而頒布這些仿冒簽名的機(jī)構(gòu)，則集中在11家簽名機(jī)構(gòu)當(dāng)中。這其中更是以Sectigo、Go Daddy、SSL.com、Starfield四家機(jī)構(gòu)簽發(fā)的證書數(shù)量最多。

圖4. 仿冒簽名頒發(fā)機(jī)構(gòu)分布?

被冒用目標(biāo)機(jī)構(gòu)

與頒發(fā)機(jī)構(gòu)相對(duì)的，被冒用簽名的目標(biāo)機(jī)構(gòu)則顯得不那么集中。但這些機(jī)構(gòu)也有著一些較為明顯的共同點(diǎn)，其中最為明顯的就是被冒用目標(biāo)機(jī)構(gòu)大多是在國內(nèi)外有一定影響力的互聯(lián)網(wǎng)或軟件公司。以下是目標(biāo)機(jī)構(gòu)的Top10：

圖5. 被冒用目標(biāo)機(jī)構(gòu)Top10?

篡改簽名時(shí)間戳的“反向操作”

此外，針對(duì)數(shù)字簽名所實(shí)施的攻擊活動(dòng)中，還有一類“奇葩”案例值得額外一提。有些攻擊者除了通過各種手段對(duì)數(shù)字簽名進(jìn)行仿冒外，還可能進(jìn)行一種“反向操作”——即在未能成功獲取仿冒簽名的情況下謊稱自己已拿到了目標(biāo)機(jī)構(gòu)“泄露”的簽名證書，并以此為要挾對(duì)目標(biāo)機(jī)構(gòu)進(jìn)行敲詐。這一操作則通常是利用了數(shù)字簽名的“時(shí)間戳”屬性。

在用戶查看文件數(shù)字簽名時(shí)，通常會(huì)注意到其中附帶的時(shí)間戳信息。這是對(duì)文件進(jìn)行簽名時(shí)由第三方時(shí)間戳服務(wù)器（TSA，Time Stamping Authority）所添加的一段驗(yàn)證數(shù)據(jù)，用于標(biāo)識(shí)數(shù)字簽名的簽署時(shí)間。

圖6. 數(shù)字簽名的時(shí)間戳

由于時(shí)間戳由權(quán)威機(jī)構(gòu)認(rèn)證，通常被認(rèn)為難以篡改。然而，時(shí)間戳實(shí)際上也并非絕對(duì)安全，同樣存在被篡改的可能性。這主要是由于對(duì)已簽名的文件，任何人其實(shí)都可以向認(rèn)證機(jī)構(gòu)申請(qǐng)重新添加時(shí)間戳。而認(rèn)證機(jī)構(gòu)在收到請(qǐng)求后，會(huì)返回再次申請(qǐng)時(shí)的時(shí)間戳并附加到文件中。

而國內(nèi)也出現(xiàn)過用這類方法進(jìn)行“招搖撞騙”的案例——謊稱掌握了廠商的證書私鑰。這里我們也提醒廠商不要因此恐慌而上當(dāng)受騙。

修改時(shí)間戳的局限性

不過，對(duì)簽名時(shí)間戳的修改存在著較大的局限性。這也導(dǎo)致了此類操作的實(shí)際案例并不如上述的簽名冒用那樣泛濫：

局限一：時(shí)間戳的更改不會(huì)修改文件本身的簽名內(nèi)容，因此無法篡改文件的核心數(shù)據(jù)。

局限二：只有已簽名的文件才能調(diào)整時(shí)間戳，未簽名的軟件無法通過這種方式進(jìn)行簽名偽造。

簽名時(shí)間戳修改實(shí)例

為了更直觀地說明這一過程，以下是一個(gè)利用DigiCert對(duì)微軟的MSEdege瀏覽器重新附加時(shí)間戳的示例：

圖7. 對(duì)微軟Edge瀏覽器簽名時(shí)間戳的修改實(shí)例?

安全提醒

數(shù)字簽名的冒用攻擊是一種由來已久且難以防范的攻擊方式。證書頒發(fā)機(jī)構(gòu)有自身的局限性，很難對(duì)證書申請(qǐng)者完成詳盡調(diào)查，從而為攻擊者提供了可乘之機(jī)。而這類仿冒證書，對(duì)一般企業(yè)、用戶來說，也幾乎不可能識(shí)別。

這些攻擊方式表明，數(shù)字簽名證書的安全性不僅僅依賴于技術(shù)手段，還需要完善的身份驗(yàn)證、審查和監(jiān)管機(jī)制。

360安全大腦，利用具有優(yōu)勢(shì)的全網(wǎng)視野，和海量的樣本數(shù)據(jù)，能夠輕易發(fā)現(xiàn)這類簽名名稱相同、簽名相似、頒發(fā)機(jī)構(gòu)異常等證書存在異常的樣本，能夠?yàn)橛脩艉蛷S商提供預(yù)警和監(jiān)測(cè)服務(wù)，幫助用戶應(yīng)對(duì)簽名冒用問題。

使用360終端安全產(chǎn)品的用戶也無需擔(dān)心，360對(duì)簽名的校驗(yàn)比對(duì)有一套完成的流程，不論是攻擊者導(dǎo)入的虛假根證書，還是這類證書頒發(fā)機(jī)構(gòu)頒發(fā)的“虛假證書”都難逃360安全大腦的識(shí)別。