恶意软件使用有效的数字签名证书是很少见的,但更少见的是软件安全公司F-Secure的研究人员发现,恶意软件使用了曾属于马来西亚政府的一个官方的密钥进行签名。
这个恶意软件利用了Adobe Reader 8中的一个漏洞,并通过PDF文件进行传播。一旦利用了漏洞,该恶意软件就会下载其他恶意组件,其中一些组件通过一个商业网站进行了签名,该商业网站来自一个被称为worldnewsmagaizines.org的服务器。
被盗的证书由mardi.gov.my域发出,曾属于马来西亚农业研究与发展研究所。F-Secure公司的首席研究官Mikko Hypponen在博客中写道,他们的研究人员与马来西亚当局取得了联系,被告知该证书“很久以前”就被偷了。
“这是有问题的,因为如果当一个终端用户想从Web上下载一个未签名的Windows应用程序时,会产生一个警告,而经过签名的应用就不会发出警告。”Hypponen这样写道。他还表示,比起未签名的代码,一些安全系统会更信任该恶意软件,因为代码签名证书通常被认为是真实的。
但是,据博客中写道,mardi.gov.my证书在九月底就过期了,也就是说Windows应用程序应该会出现警告。
被偷的证书由马来西亚一个名为Digicert Sdn. Bhd的小型证书颁发机构(certificate authority,CA)颁发,不要与总部设子美国的证书颁发机构Digicert混淆。Digicert Sdn. Bhd是Cybertrust/Verizon和Entrust证书颁发机构的一个从属组织,后者都已撤销了它们发给CA的证书。主要浏览器制造商,如谷歌,Opera,微软和Mozilla也都已将马来西亚的CA(证书颁发机构)列入黑名单。
据软件公司Opera Software的开发人员Yngve Nysaeter Pettersen在博客中写道,列入黑名单是因为发现Digicert Sdn. Bhd“发布的证书能满足一些技术和合同要求,导致访问来西亚政府网站的人遭受潜在攻击。”
一些证书问题包括缺少“扩展密钥用法”(Extended Key Usage),这是用来限制哪些证书可用;缺少指向撤销信息的指针,所以无法检查证书的有效性,且会被一个钓鱼攻击利用。
Pettersen补充道,“我们还了解到,少部分其他证书认证机构还发布了拥有512位(512-bit)密钥的25份证书。目前,我们还不知道这些证书的细节,但是我们被告知这些证书将在一个星期内被撤销。”
