报道称Zeus又回来了,这次它还有自己真实的数字证书。那么该如何检测出具有看似真实证书的木马程序呢?
Nick Lewis:公共密钥基础设施在设计时考虑了多个安全功能,这些功能让终端实体来决定自己的信任。也就是说,在这个系统中,如果证书被感染,证书颁发机构(CA)发布的数字证书会被撤销,或者证书颁发机构可能被吊销发放证书的资格。
Netscape在提高其Web浏览器的电子商务取得了显著的进步,CA证书被捆绑在Web浏览器来支持新的SSL协议。虽然这种做法将系统设置为在默认情况下信任这些CA,一个最大的问题是,任何CA都可以发布任何名称的证书。例如,www.google.com可以由恶意CA签名,仍然看起来像是合法的www.google.com网页。
Zeus变体使用的真实数字证书被合法CA分配到合法软件公司,但这并不能保护终端免受攻击。当该CA吊销该证书(防止某些系统信任这个签名的恶意软件)时,大多数系统没有检查撤销情况,这里原因有很多(例如,Web浏览器、操作系统或其他应用在默认情况下没有启用该功能),而沦为这个假证书和恶意软件的受害者。
企业可以在安装软件之前,检查已签名软件的证书吊销情况,从而检测出看似真实的证书是否为假证书。企业还可以检查通过HTTP下载的每个文件,看看文件是否由已吊销证书签名,然而可以阻止下载。另外,企业可以检查本地系统的每个文件以确定文件是否由已吊销证书签名,如果发现由已吊销证书签名的文件,应该调查该文件所在系统。