一名黑客正在使用伪造的代码签名证书冒充网络安全公司 Emsisoft 以使用其安全产品的客户为目标,希望绕过他们的防御。
代码签名证书是用于对应用程序进行签名的数字签名,以便用户、软件和操作系统可以验证软件自发布者签名后未被篡改。
威胁行为者试图通过创建假证书来利用这一点,这些假证书的名称似乎与可信赖的实体相关联,但实际上并不是有效证书。
在一份新的安全公告中,Emsisoft 警告说,它的一位客户已成为黑客使用由欺骗性 Emsisoft 证书签名的可执行文件的目标。 该公司认为这样做是为了诱使客户认为任何检测都是误报并允许程序运行。
“我们最近观察到一起事件,其中使用了据称属于 Emsisoft 的伪造代码签名证书,试图混淆针对我们的一位客户的有针对性的攻击,”Emsisoft 在安全公告中说。
“有问题的组织使用了我们的产品,攻击者的目的是让该组织允许威胁行为者安装并打算使用的应用程序,方法是使它的检测看起来是误报。”
虽然攻击失败,并且 Emsisoft 的安全软件因签名无效而阻止了该文件,但该公司警告其客户对类似攻击保持警惕。
欺骗 Emsisoft 进行远程访问
Emsisoft 表示,威胁行为者可能通过强制 RDP 或使用属于目标组织员工的被盗凭据获得了对受感染设备的初始访问权限。
在访问端点后,攻击者试图安装 MeshCentral,这是一种开源远程访问应用程序,通常受到安全产品的信任,因为它用于合法目的。
但是,这个 MeshCentral 可执行文件是用一个伪造的 Emsisoft 证书签名的,该证书声称来自“Emsisoft Server Trusted Network CA”。
虽然 Emsisoft 没有分享有关可执行文件的详细信息,但 OZABC 发现它被命名为“smsse.exe”[VirusTotal],如下所示。
但是,如果员工因数字签名名称而将此警告视为误报,他们可能会允许应用程序运行,从而使攻击者能够获得对设备的完全访问权限。
此远程访问随后可用于禁用保护、在网络中横向传播、窃取敏感数据并可能部署勒索软件。
Emsisoft 警告说,只有在确认文件不是恶意文件后才应信任可执行文件,并在允许带有无效签名的可执行文件运行之前联系安全供应商。
“这一事件表明组织需要多层保护,这样,如果一层无法阻止攻击,另一层就会阻止,”Emsisoft 解释说。
该公司还建议系统管理员在他们的 Emsisoft 产品上设置一个密码,以防止它在发生违规行为时被篡改或禁用,例如这次尝试的违规行为。
如若转载,请注明出处:https://www.ozabc.com/it/534775.html