Warning: Digitally Signed Malware is On the Rise

从理论上讲，代码签名是区分合法可执行文件和可疑的，可能有害的恶意软件的绝佳工具。然而，最近对在线威胁数据库的提交表明了一个令人担忧的趋势 - 越来越多的真实恶意软件正在分发，并且真正的权威机构颁发了非常真实的证书。

在大约12个月的过程中，使用各种工具和方法收集，编目和分析威胁样本的VirusTotal已经累积了近4000种不同的恶意软件，这些恶意软件都经过合法的认证机构的数字签名。颁发这些证书的机构包括Entrust，DigiCert，Go Daddy，GlobalSign，Sectigo和VeriSign。这些数据来自Medium's Chronicle Blog发布的一份报告。

可能会有比原先想象的更多的数字签名恶意软件

更重要的是，所引用的数字也被认为是相当保守的，并且可能并不表示数字签名恶意软件的真实传播，因为在形成它们时存在许多限制性标准。在仅搜索Windows便携式可执行文件时发现了3,815个签名恶意软件样本，并且未包含任何未从各种引擎中引发至少15次检测的文件。

正如安全研究人员指出的那样，数字签名的恶意软件是一个大问题，因为它允许严重威胁在环境中轻松操作，否则这些环境会采取良好的安全措施。 发给实际恶意软件的证书数量最多似乎来自Sectigo，以前称为Comodo。在3,815次检测中，超过一半的检测结果来自Sectigo。这种流行可能源于Sectigo也是最大的认证机构。

糟糕的演员正在逍遥法外，使用一次性LLC公司并使用这些实体购买证书，甚至不假装成为一些老牌公司。证书颁发机构很快就开始撤销发给恶意软件的证书，其中一些工作比其他人更快。不良行为者可以立即，轻松地从合法当局获得代码认证，这一事实仍然是一个只能通过实施更严格的尽职调查规则和程序来解决的问题。