NVIDIA外流「程式码签章」遭骇客利用 将恶意软体伪装成官方驱动程式

就在上个礼拜,显示卡大厂 NVIDIA 遭到了骇客团体 Lapsus$ 入侵,窃取并外洩了大量来自公司内部的商业机密资料,其中甚至还包含了 DLSS 技术的原始码。而现在,这些外流的资料与「程式码签章认证」(code-signing cer

就在上个礼拜,显示卡大厂 NVIDIA 遭到了骇客团体 Lapsus$ 入侵,窃取并外洩了大量来自公司内部的商业机密资料,其中甚至还包含了 DLSS 技术的原始码。而现在,这些外流的资料与「程式码签章认证」(code-signing certificate) 都已经陆续开始遭到有心人士的利用,不仅藉此获得了部分机器的远端控制权限,甚至还用来掩饰一些恶意软体。

照片中提到了NVIDIA,跟英伟达有关,包含了英伟达徽标、游戏机、NVIDIA GeForce GTX、Quadro

官方程式码让恶意软体能够通过作业系统的认证

根据 Techpowerup 的报导,这些认证已经被用来散布某种全新类型的恶意软体,而 Bleeping Computer 网站还在他们的相关报导中列出了 Cobalt Strike 信标、Mimikatz、后门以及远端访问木马 (Remote Access Trojans, RAT) 等利用这种方式部属的恶意软体。

简单说明一下,所谓的「程式码签章认证」是开发者们用来签署可执行档案以及驱动程式的方式,在完成了这道手续后,才会将这些程式公诸于世。对于 Windows 系统来说,这是一种更加安全的防护措施,确保用户能够验证这些原始档案的所有权。因为微软会要求所有核心模式的驱动程式都必须先经过签章,不然作业系统会直接拒绝运行这类档案。

如果有心人士能够取得来自 NVIDIA 的官方程式码签章,那作业系统就无法自动侦测这些恶意软体,如果用户本身不够小心,下载到伪装成驱动程式的恶意软体,就会导致整台电脑陷入严重的资安危机中。
 

NVIDIA外流「程式码签章」遭骇客利用 将恶意软体伪装成官方驱动程式

资安研究人员已回报可疑序列码

当骇客团队 Lapsus$ 入侵 NVIDIA 时,他们曾一度要求这间公司必须公开释出能让旗下显示卡产品绕过「加密货币算力限制」的方式,NVIDIA 当然没有选择妥协。在那之后,Lapsus$ 不仅直接公开了他们的程式码签章认证,同时还释出了旗下 7.1 万员工的个人资料、DLSS 技术原始码,甚至还有一些与次世代 GPU 名称有关的文件。

当然,许多潜伏于网络中的骇客很快就将这波外流的认证程式码当成了武器库,利用 NVIDIA 官方的正统程式码当成一种伪装,向不知情的用户们散布各种由他们设计的恶意软体。以目前来说,这些程式码同时被用来认证 Windows 的驱动程式以及远端木马软体 Quasar,而防毒分析软体 VirusTotal 目前显示的资料,已经有 46 个资安供应商和 1 种沙盒机制 (sandbox) 将这个软体标记为恶意软体。

在资安研究人员 Kevin Beaumont 以及 Will Dormann 的回报下,Bleeping Computer 网站成功找出了其中两个疑似为恶意软体伪装的驱动程式序列码,希望用户们能够格外留意,避免造成潜在的资安问题:

  • 43BB437D609866286DD839E1D00309F5
  • 14781bc862e8dc503a559346f5dcc518

照片中提到了dondadad o、o1nO 10110 1、610OF 0110 101,包含了картинка хакера、电脑安全、勒索软件、安全、商业

这两个程式码都是 NVIDIA 曾经使用过的程式码,即使目前已经过期,但用户们的作业系统依然会照常允许使用。如果因为某些理由不得不从第三方的网站下载驱动程式时,最好仔细注意一下安装程式的序列码。虽然 Windows 确实能够藉由设定防堵採用特定程式码签章的程式,但对于不熟悉操作方式的用户来说,这似乎并不是个最方便的选择,也有可能会导致无法安装来自 NVIDIA 旗下的正统驱动程式。

原创文章,作者:科技庭,如若转载,请注明出处:https://www.53moban.com/1448.html

联系我们

400-800-8888

在线咨询:点击这里给我发消息

邮件:admin@example.com

工作时间:周一至周五,9:30-18:30,节假日休息