合法数字证书滥用(Legitimate Certificate Abuse)是指攻击者通过窃取或伪造有效代码签名证书,为恶意篡改的二进制文件提供合法身份认证的技术。该技术突破传统基于证书吊销列表(CRL)或证书透明度(CT)日志的检测机制,使被篡改文件在数字签名验证环节呈现合法状态,规避安全软件的静态检测。
匿迹效果通过数字身份伪装与签名验证机制绕过实现。攻击者首先通过供应链攻击、证书颁发机构(CA)漏洞利用或企业证书窃取等方式获取有效签名密钥。在篡改目标二进制文件后,使用合法证书对修改后的文件重新签名,确保其通过操作系统内核的签名验证。进阶手法包括时间戳欺诈(Time-Stamping Fraud),利用历史有效证书签署恶意文件并附加合法时间戳,延长攻击窗口期。此外,攻击者可能构造中间人证书链,将恶意证书嵌入受信CA链中,实现系统级信任欺骗。此类技术使得被控二进制文件在文件属性、进程模块验证等环节均呈现合法状态,显著提升攻击载荷的隐蔽性。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon