用于恶意软件的 Nvidia 攻击中的代码签名证书

通过Mura在 Computer Security

翻译为：

属于 Nvidia 的证书在 2022 年 2 月下旬对芯片制造商的网络攻击中被盗，目前正被用于签署恶意代码，以试图将恶意软件推过自动防御。

使用 Nvidia 证书签名的恶意程序包被用于针对基于 Windows 的系统。 Nvidia 在 2 月下旬成为Lapsus$ 勒索软件团伙的目标，相关证书作为攻击的一部分被泄露。 Lapsus$ 攻击的总容量约为 1TB 从芯片制造商的服务器中窃取的数据。

除了被盗的证书之外，Lapsus$ 还成功窃取了属于 7 万多名 Nvidia 员工的原理图、驱动程序以及电子邮件和密码哈希数据。

安全研究人员在最初的攻击几天后在 Twitter 上报告说，相同的证书被用于签署包含恶意软件的二进制文件。使用被盗证书的有效负载后来被识别为Mimikatz 、 Cobalt Strike以及后门和远程访问恶意工具的实例。

即使被盗的 Nvidia 证书已经过期，研究人员发现它们仍然可以用于签署软件，例如可以在 Windows 机器上正常部署的驱动程序。

CERT 的漏洞分析师 Will Dormann 和 Kevin Beaumont 分享了被滥用的 Nvidia 证书的序列号，如下：

43BB437D609866286DD839E1D00309F5

14781bc862e8dc503a559346f5dcc518

微软企业和操作系统安全总监在推特上发布了一种方法来限制允许在系统上加载的 Nvidia 驱动程序，但这样做需要调整 Windows Defender 应用程序控制策略中的设置，这对于常规来说并不是一件容易的事情家中的用户，但仍应为拥有专门 IT 安全人员的企业和大型网络提供帮助。

作为攻击 Nvidia 的一部分，Lapsus$ 勒索软件团伙提出要求该芯片制造商将其所有驱动程序开源，这显然永远不会发生。黑客威胁要自己发布源代码，但这仍然只是一个威胁。

搜索