论文部分内容阅读
这里有最新的黑客研究成果,这里有黑客的最新“黑科技”,这里有权威解读,正所谓知己知彼方能百战不殆。要想全面抵御黑客的攻击,就必须知道黑客的最新动态。欢迎志同道合的朋友来投稿,投稿邮箱:285845949@qq.com。
杀毒软件为了提高杀毒速度、减少监控系统所需的资源,使用了白名单技术,也就是事先弄好一份名单,在这个名单上的公司开发的软件都认为是无毒的,凭证就是数字签名证书。黑客为了躲避杀毒软件的查杀,自然会想到盗用数字签名证书进行欺骗,前些年就出现过木马盗用《美图秀秀》《暴风影音》等软件数字签名的情况,这种攻击一直没有停止过且在2018年愈演愈烈,在这个过程中有了一个新变化:伪装成知名公司去国外机构申请一个数字签名。
起初,黑客盯上了国外最大的域名注册商Go Daddy,这个机构可以申请数字签名证书,于是黑客伪造资料申请了京东、暴风集团等知名公司的数字签名证书,获得了一批該颁发机构签发的“假证书”——是的,这个数字签名证书是真的,但公司名是冒用的,这么一来就会误导杀毒软件,从而成功躲避查杀。随着安全厂商对Go Daddy颁发数字签名证书越发谨慎,黑客也开始尝试寻找其他机构,甚至想到国外杀毒软件也可以颁发数字签名证书,还真的糊弄过去了,导致网上出现一个冒用“恒生电子”公司数字签名证书(证书来自赛门铁克)的病毒作恶。如今,连美国老牌证书授权中心DigiCert也沦陷了,病毒通过该机构申请了北京方正、中望CAD、数码大方、京东、恒生电子等一堆知名的公司,可这些被假冒签名的知名公司毫不知情,真的是躺着中枪了。
例如,有一个病毒就冒用了数码大方的数字签名证书,然后就可以欺骗杀毒软件成功入侵用户的电脑,进入电脑后连接www.yiwotech.cn:443下载一个木马,木马在“C:\Windows\Appp”目录下释放并启动两个程序ScLauncher.exe和TIM.exe,ScLauncher.exe是正常的QQ官方启动程序,本身没有问题,而TIM.exe则有问题,会启动一个名为wextract.exe的进程来运行木马,从而实现控制系统的目的,例如开启远程桌面、下载执行任意程序等。
杀毒软件为了提高杀毒速度、减少监控系统所需的资源,使用了白名单技术,也就是事先弄好一份名单,在这个名单上的公司开发的软件都认为是无毒的,凭证就是数字签名证书。黑客为了躲避杀毒软件的查杀,自然会想到盗用数字签名证书进行欺骗,前些年就出现过木马盗用《美图秀秀》《暴风影音》等软件数字签名的情况,这种攻击一直没有停止过且在2018年愈演愈烈,在这个过程中有了一个新变化:伪装成知名公司去国外机构申请一个数字签名。
起初,黑客盯上了国外最大的域名注册商Go Daddy,这个机构可以申请数字签名证书,于是黑客伪造资料申请了京东、暴风集团等知名公司的数字签名证书,获得了一批該颁发机构签发的“假证书”——是的,这个数字签名证书是真的,但公司名是冒用的,这么一来就会误导杀毒软件,从而成功躲避查杀。随着安全厂商对Go Daddy颁发数字签名证书越发谨慎,黑客也开始尝试寻找其他机构,甚至想到国外杀毒软件也可以颁发数字签名证书,还真的糊弄过去了,导致网上出现一个冒用“恒生电子”公司数字签名证书(证书来自赛门铁克)的病毒作恶。如今,连美国老牌证书授权中心DigiCert也沦陷了,病毒通过该机构申请了北京方正、中望CAD、数码大方、京东、恒生电子等一堆知名的公司,可这些被假冒签名的知名公司毫不知情,真的是躺着中枪了。
例如,有一个病毒就冒用了数码大方的数字签名证书,然后就可以欺骗杀毒软件成功入侵用户的电脑,进入电脑后连接www.yiwotech.cn:443下载一个木马,木马在“C:\Windows\Appp”目录下释放并启动两个程序ScLauncher.exe和TIM.exe,ScLauncher.exe是正常的QQ官方启动程序,本身没有问题,而TIM.exe则有问题,会启动一个名为wextract.exe的进程来运行木马,从而实现控制系统的目的,例如开启远程桌面、下载执行任意程序等。