现在手机和计算机系统有一定防护能力,需有可信任的凭证签署才可安装软件,不过恶意软件有时会盗用其他正规软件凭证伪装。最近有研究发现,有勒索软件集团使用微软许可凭证入侵。
Sophos稍早调查活动时,发现有证据显示与俄罗斯有关的古巴勒索软件集团利用正规软件商的Windows驱动程序凭证,取得Windows高级权限,修改设备设置等。Windows用户尝试安装驱动程序时,都会检查驱动程序是否有正规凭证签署,确保驱动程序安全,由于驱动程序是软硬件的桥梁,权限可深入系统运行。
研究员Andreas Klopsch和Andrew Brandt表示,来自大型和可信任软件商的签名使驱动程序发挥功能,故勒索软件盗用凭证签名,可在系统通行无阻。此次事件被盗用最旧驱动程序来自7月中国公司,12月初他们通知微软此问题,微软已发布安全更新及撤销被盗用凭证。
(首图来源:微软)