伪装: 虚假数字签名构造

虚假数字签名构造（Counterfeit Digital Signature Fabrication）是攻击者通过伪造或盗用合法证书为恶意文件添加可信数字签名的技术手段。该技术不仅包括直接窃取企业证书私钥进行签名，还涉及构造具有合法颁发机构链但实体信息虚假的证书（如注册空壳公司获取EV代码签名证书），使恶意文件在数字签名验证环节显示为"已验证发布者"，从而绕过应用程序白名单和邮件附件过滤机制。

该技术的核心在于突破证书信任链的验证机制。攻击者利用部分CA机构的验证流程漏洞，通过伪造企业证明材料获取合法代码签名证书。在签名实施环节，采用时间戳服务器加固签名有效期，确保即使证书后期被吊销也不影响已签名文件的验证状态。高阶变种会结合签名嵌套技术，将恶意代码注入已签名合法软件的更新模块中，形成"合法外壳+恶意内核"的混合结构。这使得传统基于签名黑名单的防御体系完全失效，必须依赖行为沙箱或内存分析才能识别威胁。