近年来，软件行业见证了代码签名攻击的激增。黑客一直在利用代码签名证书中的漏洞对软件供应链发起复杂的攻击，给组织造成重大的财务和声誉损失。最近的网络攻击，例如 SolarWinds 和 Codecov 漏洞，突出了代码签名攻击的破坏性影响，引起了政府和行业专家的注意。

例如，美国政府发布了针对代码签名攻击风险的警报和建议，敦促软件开发商通过强大的安全措施保护其软件供应链。对代码签名工具的需求从未像现在这样重要，因为它们可以为这些攻击的潜在危害提供可靠的防御。

根据 Sonatype 于 2022 年 10 月 18 日发布的第 8 份年度软件供应链状况报告的早期数据，在过去三年中，Sonatype 的存储库攻击平均增长了 700%。这些数字是巨大的，更令人担忧的是它对客户构成的威胁。 

APT 使用的现代攻击

随着时间的推移，不仅我们的防御被尖端技术强化，而且 APT 所使用的攻击也变得越来越聪明。黑客的行动越来越迅速。   

此处列出了现代 APT 使用的一些代码签名攻击类型：-

• 代码签名欺骗

  攻击者可以窃取合法的代码签名证书并使用它们来签署他们的恶意软件，从而绕过防病毒和其他安全措施。
  

  
  

• 编译器后门

  攻击者可以在编译器中植入后门，然后在编译过程中将后门用于将恶意代码注入合法软件程序。
  

  
  

• 中间人攻击

  攻击者可以在下载时拦截和修改软件包，注入恶意代码，或操纵代码的行为来造成危害。
  

  
  

• 依赖混淆攻击

  在此类攻击中，攻击者利用软件开发过程中的漏洞，通过利用与合法依赖项同名的依赖项，将恶意代码注入软件供应链。
  

  
  

但是谁来承担安全因素呢？

任何成功的网络安全计划都需要一个涉及人和机器的综合战略。然而，近年来，APT 组织通过利用社会工程策略在未被发现的情况下渗透系统，利用了人为因素中的漏洞。此类攻击者利用安全团队对广告软件和其他看似无害的应用程序的假设，在网络内横向移动并避免被安全解决方案检测到。

他们甚至可以使用系统中已有的合法工具来发挥自己的优势。为了减轻这些风险，至关重要的是不仅要投资于尖端技术，还要对员工进行最佳实践方面的教育。必须采用将先进技术与员工培训相结合的综合方法，以确保人为因素不是安全链中的薄弱环节。通过这样做，组织可以更好地保护自己免受 APT 团体和其他针对人类心理的复杂威胁。

是什么导致证书泄露？

代码签名证书对于确保软件安全至关重要。但是，它们也容易受到黑客的攻击。攻击者可以通过多种方式获取这些证书，例如利用三个关键漏洞。

• 第一种是密钥盗窃，其中代码签名证书及其私钥通常存储在未受保护的位置，例如签名服务器或开发人员工作站。这些系统中的漏洞可以为黑客提供轻松的访问权限。

  
  

• 第二个漏洞是内部滥用，开发人员无意中让攻击者很容易获得代码签名证书。一个例子是 D-Link 在 2015 年不小心在开源固件中发布了四个代码签名密钥。

  
  

• 第三个也是最令人担忧的是签名妥协，攻击者将签名基础设施本身作为目标。通过破坏基础设施，攻击者可以签署恶意软件并将其作为合法软件分发，而不被检测到。例如，在 2019 年，黑客破坏了华硕的 Live Update Utility，使他们能够向数千名未被发现的用户分发恶意软件。

代码签名（CodeSign）安全

作为Thales（泰雷兹）的合作伙伴，揽阁信息提供的解决方案，可以在很大程度上帮助客户降低风险。其中：

• Thales Luna Network/PCIe HSM拥有FIPS 140-2 Level 3和CC EAL 4+两项安全认证，是广泛被使用的HSM（加密机）产品。该产品可与主流的证书服务集成，如MicroSoft ADCS，也可在内部随机生成最高支持RSA 4096的密钥对。私钥永远保存在被认证的硬件中，且签名过程也是在HSM内部完成，私钥永远不会暴露给外界。

• Thales ProtectServer Network/PCIe HSM拥有FIPS 140-2 Level 3认证，是一款实用非常灵活的HSM。该产品提供了MicroSoft可用的CSP。密钥长度最高支持RSA 4096，私钥永远保存在被认证的硬件中，且签名过程也是在HSM内部完成，私钥永远不会暴露给外界。

• eToken 5110 CC，该产品是一款USB型的产品；拥有CC EAL5+ / PP QSCD, eIDAS，同时获得eSignature 和eSeal 资格，并通过法国ANSSI 认证。

欢迎联系揽阁信息获取更多信息

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Luna HSM v7.8.4 和 Luna HSM Universal Client v10.7 现已推出

• 经验教训：2023年全球网络安全的五个要点

• 简化密钥和证书的审核和修复

• 揭示PKI动态：全球各地区技术趋势和监管见解

• 适合每位居民的欧盟数字身份钱包：利用HSM和开放标准SSCD