一家安全供應(yīng)商警告網(wǎng)絡(luò)安全團(tuán)隊(duì)在審查代碼簽名證書時(shí)要保持高度警惕，因?yàn)榘l(fā)現(xiàn)有人試圖通過(guò)偽造證書來(lái)掩蓋網(wǎng)絡(luò)攻擊。

Emsisoft在一篇新的博客文章中聲稱，在獲得對(duì)客戶網(wǎng)絡(luò)的初始訪問(wèn)權(quán)限后，攻擊者安裝了一個(gè)名為MeshCentral的雙重用途遠(yuǎn)程訪問(wèn)產(chǎn)品。

AV供應(yīng)商說(shuō)，它是用一個(gè)名為Emsisoft Server Trusted Network CA的證書簽署的，目的是欺騙安全團(tuán)隊(duì)相信它是合法的。

它說(shuō)：“我們認(rèn)為這樣做是為了使對(duì)應(yīng)用程序的任何檢測(cè)看起來(lái)都是誤報(bào)。畢竟，我們的一個(gè)產(chǎn)品是在受感染的端點(diǎn)上安裝并運(yùn)行的，因此據(jù)稱由Emsisoft證書簽名的應(yīng)用程序可能被認(rèn)為是安全的并被列入允許列表。”

Emsisoft表示，這一事件表明，組織在決定是否允許其安全工具標(biāo)記的新應(yīng)用程序時(shí)應(yīng)格外警惕。

它認(rèn)為，如果一個(gè)組織授權(quán)一個(gè)不應(yīng)該被允許的應(yīng)用程序，攻擊者可能能夠禁用防病毒保護(hù)，在網(wǎng)絡(luò)內(nèi)橫向移動(dòng)，泄露數(shù)據(jù)并最終部署勒索軟件。

Emsisoft建議，如果證書的來(lái)源未知，則應(yīng)隔離和檢查應(yīng)用程序，并且只有在最終證明它是安全的并且由組織合法安裝的情況下才允許。

Venafi生態(tài)系統(tǒng)和社區(qū)副總裁Kevin Bocek解釋說(shuō)：“由于威脅行為者通常在網(wǎng)絡(luò)內(nèi)具有信任級(jí)別，因此越來(lái)越多地針對(duì)機(jī)器身份。威脅行為者明白，通過(guò)偽造的機(jī)器身份被授予對(duì)公司系統(tǒng)的可信訪問(wèn)權(quán)限類似于被引入數(shù)字前門。在這種情況下，欺騙性身份被檢測(cè)到并標(biāo)記，但它很容易被忽視?！?/p>

他補(bǔ)充說(shuō)：“云原生技術(shù)的持續(xù)采用正在為機(jī)器身份管理帶來(lái)巨大的復(fù)雜性。團(tuán)隊(duì)比以往任何時(shí)候都更難決定哪些可以信任運(yùn)行，哪些不能信任運(yùn)行，尤其是考慮到開發(fā)環(huán)境的速度?！?/strong>