駭客開始利用Nvidia程式碼簽章散布惡意程式
文/陳曉莉 | 2022-03-07發表
Nvidia在今年的2月23日遭到駭客入侵,LAPSUS$ 駭客宣稱自Nvidia系統上盜走了1TB的資
料,包括驅動程式、韌體或其它技術資料等,除了7.1萬名Nvidia員工資料已在網路上流
竄之外,駭客也公布了兩個Nvidia的程式碼簽章憑證,而且很快就遭到惡意程式的濫用,
假冒為Nvidia驅動程式以進駐Windows平臺。
程式碼簽章憑證是用來簽署驅動程式或執行檔,以讓Windows作業系統或使用者得以驗證
檔案的源頭,以及檔案是否曾被竄改,因此,以Nvidia的程式簽章憑證來簽署檔案,系統
或使用者就會以為該檔案來自Nvidia而予以放行。
資安研究人員Bill Demirkapi在3月4日指出,駭客外洩了兩個Nvidia的程式簽章憑證,雖
然這兩個憑證已經過期,但Windows依舊允許這些過期的憑證來簽署驅動程式。
同一天另一名檢測工程師Florian Roth就發現濫用了相關憑證的惡意程式,涵蓋遠端存取
木馬Quasar、安全測試工具Mimikatz,或是其它後門程式等。
負責作業系統安全性的微軟副總裁David Weston則建議,Windows用戶可以變更Windows
Defender的應用程式控制政策(WDAC),以求限制或放行特定版本的Nvidia檔案。
https://www.ithome.com.tw/news/149732
驅動值5000