骇客开始利用Nvidia程式码签章散布恶意程式
文/陈晓莉 | 2022-03-07发表
Nvidia在今年的2月23日遭到骇客入侵,LAPSUS$ 骇客宣称自Nvidia系统上盗走了1TB的资
料,包括驱动程式、韧体或其它技术资料等,除了7.1万名Nvidia员工资料已在网络上流
窜之外,骇客也公布了两个Nvidia的程式码签章凭证,而且很快就遭到恶意程式的滥用,
假冒为Nvidia驱动程式以进驻Windows平台。
程式码签章凭证是用来签署驱动程式或执行档,以让Windows作业系统或使用者得以验证
档案的源头,以及档案是否曾被窜改,因此,以Nvidia的程式签章凭证来签署档案,系统
或使用者就会以为该档案来自Nvidia而予以放行。
资安研究人员Bill Demirkapi在3月4日指出,骇客外泄了两个Nvidia的程式签章凭证,虽
然这两个凭证已经过期,但Windows依旧允许这些过期的凭证来签署驱动程式。
同一天另一名检测工程师Florian Roth就发现滥用了相关凭证的恶意程式,涵盖远端存取
木马Quasar、安全测试工具Mimikatz,或是其它后门程式等。
负责作业系统安全性的微软副总裁David Weston则建议,Windows用户可以变更Windows
Defender的应用程控政策(WDAC),以求限制或放行特定版本的Nvidia档案。
https://www.ithome.com.tw/news/149732
驱动值5000