黑客伪造Emsisoft证书以隐藏攻击

一家安全供应商警告网络安全团队在审查代码签名证书时要保持高度警惕，因为发现有人试图通过伪造证书来掩盖网络攻击。

Emsisoft在一篇新的博客文章中声称，在获得对客户网络的初始访问权限后，攻击者安装了一个名为MeshCentral的双重用途远程访问产品。

AV供应商说，它是用一个名为Emsisoft Server Trusted Network CA的证书签署的，目的是欺骗安全团队相信它是合法的。

它说：“我们认为这样做是为了使对应用程序的任何检测看起来都是误报。毕竟，我们的一个产品是在受感染的端点上安装并运行的，因此据称由Emsisoft证书签名的应用程序可能被认为是安全的并被列入允许列表。”

Emsisoft表示，这一事件表明，组织在决定是否允许其安全工具标记的新应用程序时应格外警惕。

它认为，如果一个组织授权一个不应该被允许的应用程序，攻击者可能能够禁用防病毒保护，在网络内横向移动，泄露数据并最终部署勒索软件。

Emsisoft建议，如果证书的来源未知，则应隔离和检查应用程序，并且只有在最终证明它是安全的并且由组织合法安装的情况下才允许。

Venafi生态系统和社区副总裁Kevin Bocek解释说：“由于威胁行为者通常在网络内具有信任级别，因此越来越多地针对机器身份。威胁行为者明白，通过伪造的机器身份被授予对公司系统的可信访问权限类似于被引入数字前门。在这种情况下，欺骗性身份被检测到并标记，但它很容易被忽视。“

他补充说：“云原生技术的持续采用正在为机器身份管理带来巨大的复杂性。团队比以往任何时候都更难决定哪些可以信任运行，哪些不能信任运行，尤其是考虑到开发环境的速度。”