最近Insikt Group对伪造代码签名证书的发展史做了一个详细的调查研究，报告总共有10页。如果你想了解详细内容，请点此下载完整的PDF格式的报告，下面我就对本报告做个简要的介绍。

Insikt Group把伪造代码签名证书的发展史分为了5个阶段

1.虽然Insikt Group最早是在2011年观察到的代码签名证书被盗的使用情况，但直到2015年，代码签名证书才在地下罪犯黑市中广泛被使用。

2.Insikt Group确定了自2011年以来伪造代码签名证书的四家知名供应商，目前只有两家供应商是向俄语地区提供他们的服务。

3.目前代码签名证书最经济实惠的那个版本售价为299美元，但具有SmartScreen筛选器的综合扩展验证(Extended Validation)证书的价格为1599美元。EV SSL证书的域名注册起始价格为349美元。扩展验证证书（The Extended Validation certificate），即EV证书，是一种根据一系列特定标准发行的X.509电子证书，属SSL证书的一种类型。每个证书签发者会在他们签发的证书的域中放入一个独特的对象标识符，每个对象标识符包含了发行者的认证声明，但EV证书中不能包含通配符。在颁发证书之前，证书发行机构(CA)必须对验证申请者的身份进行验证。

4.所有证书都是由知名公司发布的，如Comodo，Thawte和Symantec，并且证明在恶意软件混淆中非常有效，Insikt Group相信合法的企业并不知道他们的数据被用于非法活动。

5.当合法（合法证书）SSL/TLS流量由恶意植入启动时，执行深度数据包检测的网络安全设备就会失效。目前，NetFlow Analyzer就是一款比较高效的流量监控分析软件，因为基于主机的控件也可能由于合法的代码签名证书而变得无效。NetFlow Analyzer支持多种Flow格式，包括：NetFlow、sFlow、 cflow、J-Flow、FNF、IPFIX、NetStream、 Appflow等，可解析多达100K Flow/秒的大流量数据，是包括思科在内的主流网络设备厂商官方推荐，以及全球众多用户赞许的网络流量监控与分析解决方案

报告摘要

在2017年，全球的安全研究人员发现一个趋势，那就是代码签名证书的使用量突然增加，它们被用作恶意载荷传播过程中的分层混淆技术（layered obfuscation technique ）。 Insikt Group通过调查发现，目前提供代码签名证书和域名注册的供应商，这些应商都附带SSL证书。

通常我们都认为地下黑市流传的那些用于恶意活动的安全证书都是从合法所有者哪里盗窃的，但通过调查，实际情况却刚好相反。Insikt Group非常确定这些用于恶意活动证书都是黑市的买家为每个攻击请求专门创建的，且创建时都是盗用了合法的企业身份，这样在攻击时被检测到的可能性就非常小。

伪造代码签名证书的发展背景

多年来，安全研究人员已经多次警告用户，网络犯罪分子很可能使用伪造代码签名证书来混淆恶意有效载荷，但这些攻击从来没有被安全人员彻底地研究过。

随着杀毒软件检测能力的提高，类似于有效载荷加密等安检的标准策略已不能适应新的安检环境了。所以要想在较长时间内按着同一个标准来对可执行文件进行安全防护是不可能的了，必须每天进行更新检测。面对如此严格的安检策略，网络犯罪分子需要不断地提高攻击方法，尽量降低了被检测到的概率，并开始尝试二级保护层，这样使用合法颁发的安全证书来对有效载荷文件进行签名就成了一种比较好的选择。

虽然早在2011年安全研究人员就已经知道有黑客正在使用假冒证书，但直到2015年，第一波使用假冒证书的攻击软件才被大规模使用。

伪造代码签名证书的威胁分析

第一批提供伪造代码签名证书的供应者是[email protected]，这是一个多产的个人黑客。2015年3月，[email protected]提供了一个Microsoft Authenticode，它可以对各种可执行文件的32/64位版本以及Microsoft Office，Microsoft VBA，Netscape Object Signing和Marimba Channel Signing文档进行签名，并支持Silverlight 4应用程序。此外，它还能支持Apple代码签名证书。

[email protected]在他的个人介绍中是这样说的：

证书是由合法公司注册并由Comodo，Thawte和赛门铁克发行的，这些都是规模最大、最受尊敬的发行方。

另外，[email protected]表示每个证书都是唯一的，只能分配给单个买家，这可以通过HerdProtect.com轻松验证。所以经过签名文件的有效载荷，安装成功率相比以前提高了30％到50％，他甚至承认在不到6个月的时间 内销售了60多个这样的证书。

由于成本过高，[email protected]的销售量并没有太多，并且未能吸引广泛的客户，有时，每张证书的售价高达1000美元，而其它更经济实惠且可靠的有效载荷混淆方法也同样可以达到类似的效果。

暗网中伪造代码签名证书的犯罪活动

大约两年后，也就是2017年，三名新的开发者开始在东欧的地下黑市提供他们的伪造代码签名证书服务。虽然其中一名开发者最终转投了其它的非法行动中，但其余两名开发者仍然积极向讲俄语的开发者提供这些伪造代码签名证书。

其中第二位开发者擅长开发3类证书，但不包括扩展验证（EV）证书，且价格为600美元。 

由Comodo发布的不包含SmartScreen筛选的标准代码签名证书价格为295美元，如果买家对赛门铁克签发的EV证书版本感兴趣那就得支付1599美元，这比真实证书的价格高出230％。对于那些试图批量购买的用户来说，经过EV SSL加密和代码签名功能的完全认证的域名的一般价格为1799美元。

开发者打出的广告

根据两位卖家在私下谈话中提供的信息，研究人员发现为了保证产品的发行和使用寿命，所有证书都使用真实公司的信息进行注册。

所以研究人员有理由相信，合法的企业不知道他们的数据被用于这些非法活动。值得注意的是，所有的证书都是为每个买家单独创建的，平均交货时间为2到4天。

开发所用的技术分析

两位开发者都承认，由于Chrome浏览器采用了先进的安全性标准，所以与Firefox，Internet Explorer和Safari浏览器相比，Chrome客户端的成功攻击率要低得多。

Insikt Group成功说服了一个开发者，让他进行了一次攻击测试，测试用最近发布的Comodo证书签署了以前未报告的一个远程访问木马（RAT）的有效载荷可执行文件。尽管Insikt Group事先对测试主题文件进行了加密，但测试结果证明了具有最新代码签名版本的强大攻击性。

虽然只有八家杀毒厂商能成功检测到经过加密版本的有效载荷，但其中只有两家对代码签名版本进行有效的检测。如果是对具有有效载荷的non-resident版本进行相同测试的话，会出现更令人不安的结果。在这种情况下，只有六家公司能够检测到加密版本，其中只有Endgame发布的一款新的软件产品才能成功将使用伪造代码签名证书的文件识别为恶意文件。

伪造代码签名证书的未来发展趋势

当具有合法证书的SSL/TLS流量由恶意植入启动时，执行深度数据包检测的网络安全设备的安检效率非常低。目前，NetFlow Analyzer就是一款比较高效的流量监控分析软件，因为基于主机的控件也可能由于合法的代码签名证书而变得无效。

与普通的加密服务不同，目前每次加密的价格为10美元至30美元不等，但由于其攻击成本过高，Insikt Group不认为伪造代码签名证书的攻击会成为未来网络犯罪的主流。然而，这并不代表使用伪造的代码签名和SSL证书造成的危害很小。