過去我曾給大家介紹過，為何數字證書對騙子和情報機構如此具有吸引力。其中一個原因就是，合法的數字簽名證書可以被用來迷惑殺毒軟件。自然而然，數字簽名證書在黑市也成為一個珍貴的商品，越來越多的人開始做這個有利可圖的生意。

漸漸成型的數字簽名產業鏈

幾周前，來自IBM安全X-Force的專家觀察到，暗網黑市如今提供了專門的證書銷售渠道(CaaS)。黑客可以在暗網黑市里，購買來自受信任的證書頒發機構的數字簽名證書。

而在過去的幾個月里，數字簽名證書的銷售額大幅增加。這一趨勢也證實了情報威脅公司InfoArmor的分析結果。

這個研究引出了一個案例，某黑客曾利用一個叫GovRAT的工具，給惡意軟件簽署了合法機構頒發的數字證書。

GovRAT數字證書

GovRAT是一個給惡意軟件簽署數字簽名證書的平臺，而里面的數字證書最初在Tor網絡黑市TheRealDeal上銷售。GovRAT世面上售價1.25比特幣，但專家觀測到，開發人員如今在私下兜售。

GovRAT可以使用Microsoft SignTool、WinTrust、Authenticode技術等，對惡意代碼進行數字簽名。專家們認為GovRAT的最終買家，大多數是針對政治、外交、軍事類等組織的，超過15個國家政府的APT組織。

InfoArmor分析得，那些惡意軟件分別簽署了不同的數字證書。他們報道稱，有七家銀行(部分在美國)，以及30個國防承包商也被GovRAT簽名的惡意軟件針對了。據悉，自2014年初，有超過100個組織受到GovRAT簽名過的惡意軟件攻擊。

此外，InfoArmor專家還發現了不少黑市出售的簽名過的商品。其中，據CA數字證書級別劃分，價格600-900美元不等。我們很容易在其中找到來自Comodo、GoDaddy、Thawte之類的數字簽名證書。雖然機構的CA證書是可以撤銷重造的，但這類事件不算常見，相關公司的事件響應速度也會非常緩慢。

GovRAT的用途

InfoArmor 的CIO 安德魯·科馬羅夫告訴記者：

“這些開發了惡意軟件的黑客買家，大多數都有國家支持。這是很專業的東西，普通的腳本小子和網絡罪犯是不需要它的，因為GovRAT通常用于有針對性的隱匿APT攻擊。這樣的東西出現在黑市，能讓牛逼的黑客更加容易發揮，造就出如Stuxnet(震網病毒)帶來的效果。然而，這是一個特定的市場，數字證書的數量也有限，所以交易量不會很大。但是就我們統計所得，這類服務的交易量正在顯著增長。”

這些偽造的證書通常用于國家資助發起的攻擊，如Stuxnet和索尼黑客事件。

投機者通過機構購買合法的數字證書，他們提供了假名字、虛假的軟件作者信息、以及編造為何需要證書。他們在取得證書后，會在黑市轉手賣給黑客，讓黑客得以在短時間內在APT攻擊里用上合法簽名的惡意軟件。

InfoArmor曾報道過certs4you.org網站的案例，這個網站就提供了為惡意軟件簽名的服務。

小編結語

利用合法的數字簽名技術，能繞過一些殺毒軟件。像以前FreeBuf報道過的D-LINK路由器，就在固件包里泄露了簽名證書，因此用這個法子免殺還是很有市場的。