黑客开始利用Nvidia程序代码签章传播恶意程序

Nvidia在今年的2月23日遭到黑客入侵,LAPSUS$ 黑客宣称自Nvidia系统上盗走了1TB的资料,包括驱动程序、固件或其它技术资料等,除了7.1万名Nvidia员工资料已在网络上流窜之外,黑客也公布了两个Nvidia的程序代码签章凭证,而且很快就遭到恶意程序的滥用,假冒为Nvidia驱动程序以进驻Windows平台。

程序代码签章凭证是用来签署驱动程序或执行文件,以让Windows操作系统或用户得以验证文件的源头,以及文件是否曾被篡改,因此,以Nvidia的程序签章凭证来签署文件,系统或用户就会以为该文件来自Nvidia而进行放行。

安全研究人员Bill Demirkapi在3月4日指出,黑客外泄了两个Nvidia的程序签章凭证,虽然这两个凭证已经过期,但Windows依旧允许这些过期的凭证来签署驱动程序。

图片来源/Bill Demirkapi

同一天另一名检测工程师Florian Roth就发现滥用了相关凭证的恶意程序,涵盖远程访问木马Quasar、安全测试工具Mimikatz,或是其它后门程序等。

图片来源/Florian Roth

负责操作系统安全性的微软副总裁David Weston则建议,Windows用户可以变更Windows Defender的应用程序控制政策(WDAC),以求限制或放行特定版本的Nvidia文件。

发表评论