恶意软件现在使用 NVIDIA 窃取的代码签名证书

威胁参与者正在使用被盗的 NVIDIA 代码签名证书对恶意软件进行签名，使其看起来值得信赖，并允许在 Windows 中加载恶意驱动程序。

本周，NVIDIA 证实他们遭受了网络攻击，威胁参与者可以窃取员工凭证和专有数据。

名为 Lapsus$ 的勒索组织表示，他们在攻击期间窃取了 1TB 的数据，并在 NVIDIA 拒绝与他们谈判后开始在线泄露数据。

泄露的内容包括两个被盗的代码签名证书，NVIDIA 开发人员使用它们来签署他们的驱动程序和可执行文件。

代码签名证书允许开发人员对可执行文件和驱动程序进行数字签名，以便 Windows 和最终用户可以验证文件的所有者以及它们是否被第三方篡改。

为了提高 Windows 的安全性，微软还要求在操作系统加载内核模式驱动程序之前对其进行代码签名。

用于签署恶意软件的 NVIDIA 证书

在 Lapsus$ 泄露 NVIDIA 的代码签名证书后， 安全研究人员很快发现 这些证书被用于签署恶意软件和威胁参与者使用的其他工具。

根据上传到 VirusTotal 恶意软件扫描服务的样本，被盗证书被用于签署各种恶意软件和黑客工具，例如 Cobalt Strike 信标、Mimikatz、后门和远程访问木马。

例如，一个威胁参与者使用该证书对 Quasar 远程访问木马 [ VirusTotal ] 进行签名，而其他人使用该证书对 Windows 驱动程序 [ VirusTotal ] 进行签名。

Quasar RAT 由 NVIDIA 证书签名

安全研究人员 Kevin Beaumont 和 Will Dormann 表示，被盗证书使用以下序列号：

43BB437D609866286DD839E1D00309F5 14781bc862e8dc503a559346f5dcc518

其中一些文件可能由安全研究人员上传到 VirusTotal，但其他文件似乎被威胁参与者用于恶意软件活动 [ 1、2 ]。

虽然两个被盗的 NVIDIA 证书都已过期，但 Windows 仍允许将使用证书签名的驱动程序加载到操作系统中。

因此，使用这些被盗的证书，威胁参与者获得了使他们的程序看起来像合法的 NVIDIA 程序并允许 Windows 加载恶意驱动程序的优势。

签名的 Quasar RAT 样本

为了防止在 Windows 中加载已知的易受攻击的驱动程序，微软企业和操作系统安全总监 David Weston 在推特上表示，管理员可以配置 Windows Defender 应用程序控制策略 来控制可以加载哪些 NVIDIA 驱动程序。

但是，使用 WDAC 并不是一件容易的事，尤其是对于非 IT 的 Windows 用户。

由于存在滥用的可能性，希望以后将被盗的证书添加到微软的证书吊销列表中，以防止恶意驱动程序加载到 Windows 中。

但是，这样做也会导致合法的 NVIDIA 驱动程序被阻止，因此我们可能不会很快看到这种情况发生。