駭客開始利用Nvidia程式碼簽章散布惡意程 - 3C

駭客開始利用Nvidia程式碼簽章散布惡意程式

文/陳曉莉 | 2022-03-07發表

Nvidia在今年的2月23日遭到駭客入侵，LAPSUS$ 駭客宣稱自Nvidia系統上盜走了1TB的資
料，包括驅動程式、韌體或其它技術資料等，除了7.1萬名Nvidia員工資料已在網路上流
竄之外，駭客也公布了兩個Nvidia的程式碼簽章憑證，而且很快就遭到惡意程式的濫用，
假冒為Nvidia驅動程式以進駐Windows平臺。

程式碼簽章憑證是用來簽署驅動程式或執行檔，以讓Windows作業系統或使用者得以驗證
檔案的源頭，以及檔案是否曾被竄改，因此，以Nvidia的程式簽章憑證來簽署檔案，系統
或使用者就會以為該檔案來自Nvidia而予以放行。

資安研究人員Bill Demirkapi在3月4日指出，駭客外洩了兩個Nvidia的程式簽章憑證，雖
然這兩個憑證已經過期，但Windows依舊允許這些過期的憑證來簽署驅動程式。

同一天另一名檢測工程師Florian Roth就發現濫用了相關憑證的惡意程式，涵蓋遠端存取
木馬Quasar、安全測試工具Mimikatz，或是其它後門程式等。

負責作業系統安全性的微軟副總裁David Weston則建議，Windows用戶可以變更Windows
Defender的應用程式控制政策（WDAC），以求限制或放行特定版本的Nvidia檔案。

https://www.ithome.com.tw/news/149732

驅動值5000

--

--