|
|
|
联系客服020-83701501

攻击者利用过期安全证书传播恶意软件

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约

  网络犯罪分子一直在尝试一种分发恶意软件的新方法:通过过期的安全证书发出假警报,这些证书包含指向恶意软件的“安装(推荐)”按钮。

攻击者利用过期安全证书传播恶意软件

  该计划背后的恶意软件运营者显然揣测用户不知道什么是安全证书,或者安全证书是如何更新的,从而利用了用户希望保持网络安全的心理。

  方案

  卡巴斯基实验室的研究人员表示,这些恶意警报已经在许多不同主题的受感染网站上发现,最早的感染可以追溯到2020年1月16号。

  欺骗性通知是以从第三方来源加载内容的覆盖iframe的形式传递的。事实上,浏览器的地址栏显示了被感染站点的网址。即使显示假警报,警告看起来仍然合法。

  如果用户被骗点击“安装(推荐)”按钮,将收到恶意软件。在过去的攻击中,这可能是下载型木马Buerak或Mokes后门,但在之后的攻击中,任何类型的恶意软件都可以进行分发。

  旧技巧的新玩法

  恶意软件运营者多年来一直使用虚假警报来诱导用户下载特定版本的、广泛使用的某个软件(例如,Adobe Flash Player、Google Chrome)的新版本。然而,使用过期安全证书的警报实际上是一种非常古老的技术,做了点新花样。

  最近,用户看到比以往更多的安全证书相关警报,这与Let’s Encrypt将从3月4日起撤销近300万个TLS证书这一事件有关。恶意软件分发者正积极利用这个机会。

  为什么ssl证书会过期?

  许多人的第一直觉是,CA机构为了收费的目的而设定了有效期,这确实是原因之一,但仍需考虑安全问题。CA机构不能保证网站永远是合法的,所以有必要定期检查网站。

  此外,另一个重要原因是吊销。当网站的私钥丢失时,网站应向证书颁发机构CA申请将其证书添加到证书吊销列表中。当用户访问https站点时,浏览器将自动向CA请求吊销列表。如果用户访问的站点提供的证书在CRL中,浏览器将不会信任该证书,因为攻击者可能拥有相同的证书。

  因此,如果证书是永久有效的,随着越来越多的私钥丢失,吊销列表将变得越来越大,因为只有添加的,而没有删除的,就会增加CA的流量压力和浏览器的流量。然而,证书有效期只有几年,那么CA可以从CRL里删除过期的证书。

  使用过期的证书会发生的风险

  ssl证书可以确保网站流量不会被劫持。一旦ssl证书过期,网站流量很可能被劫持。对于普通网民来说,在这种情况下,如果他们的浏览器警告他们网站不安全或者他们的连接不安全,大多数网民肯定会选择不继续访问网站。

  中国只有少数几个通过国际Webtrust标准认证的CA机构,数安时代就是其中之一。除了自主品牌GDCA,还有SymantecGlobalsignGeoTrust等品牌。数安时代通过最安全的解决方案和专业的技术支持团队为用户提供最权威的认证服务和最安全的认证保障。拥有丰富的专业服务支持团队来应对和解决各种复杂和突发的情况,并能为用户提供7*24一对一的服务和技术支持。如有需要,您可以在官方网站上咨询客服。

数安新闻+更多

证书相关+更多