用於惡意軟件的 Nvidia 攻擊中的代碼簽名證書

Computer Security 年Mura年

翻譯為：

屬於 Nvidia 的證書在 2022 年 2 月下旬對芯片製造商的網絡攻擊中被盜，目前正被用於簽署惡意代碼，以試圖將惡意軟件推過自動防禦。

使用 Nvidia 證書籤名的惡意程序包被用於針對基於 Windows 的系統。 Nvidia 在 2 月下旬成為Lapsus$ 勒索軟件團伙的目標，相關證書作為攻擊的一部分被洩露。 Lapsus$ 攻擊的總容量約為 1TB 從芯片製造商的服務器中竊取的數據。

除了被盜的證書之外，Lapsus$ 還成功竊取了屬於 7 萬多名 Nvidia 員工的原理圖、驅動程序以及電子郵件和密碼哈希數據。

安全研究人員在最初的攻擊幾天后在 Twitter 上報告說，相同的證書被用於簽署包含惡意軟件的二進製文件。使用被盜證書的有效負載後來被識別為Mimikatz 、 Cobalt Strike以及後門和遠程訪問惡意工具的實例。

即使被盜的 Nvidia 證書已經過期，研究人員發現它們仍然可以用於簽署軟件，例如可以在 Windows 機器上正常部署的驅動程序。

CERT 的漏洞分析師 Will Dormann 和 Kevin Beaumont 分享了被濫用的 Nvidia 證書的序列號，如下：

43BB437D609866286DD839E1D00309F5

14781bc862e8dc503a559346f5dcc518

微軟企業和操作系統安全總監在推特上發布了一種限制 Nvidia 驅動程序允許在系統上加載的方法，但這樣做需要調整 Windows Defender 應用程序控制策略中的設置，這對於常規來說並不是一件容易的事情家中的用戶，但仍應為擁有專門 IT 安全人員的企業和大型網絡提供幫助。

作為攻擊 Nvidia 的一部分，Lapsus$ 勒索軟件團伙提出要求該芯片製造商將其所有驅動程序開源，這顯然永遠不會發生。黑客威脅要自己發布源代碼，但這仍然只是一個威脅。

搜索