ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1130

术语表: /attack/glossary

安装根证书

根证书在公钥加密中用于标识根证书颁发机构 (CA)。 安装根证书后,系统或应用程序将信任由根证书签名的根信任链中的证书。 证书通常用于在 Web 浏览器中建立安全的 TLS / SSL 通信。 当用户试图浏览不可信证书的网站时,将显示错误消息以警告用户安全风险。 浏览器可能不允许用户与网站建立连接,取决于安全设置。 在被攻击的系统上安装根证书会提供攻击者一种降低该系统安全性的方式。 当被攻击的系统通过 HTTPS 连接到攻击者控制的欺骗合法网站以收集登录凭据的 web 服务器时,攻击者使用该技术来避免出现提示用户的安全警告。

非典型根证书也已由制造商或在软件供应链阶段预先安装在系统上,并与恶意软件/广告软件结合使用,以提供拦截通过安全 TLS / SSL 通信传输的信息的中间人功能。

还可以克隆和重新安装根证书(及其相关链)。 克隆的证书链将携带许多与源相同的元数据特征,可用于签署恶意代码,这可以绕过签名验证工具(例如: Sysinternals, antivirus, etc.) 用于阻止执行和/或发现持久化组件。

在 macOS 中,Ay MaMi 恶意软件使用/usr/bin/security add-trusted-cert -d -r trustRoot -k /Library/ keychain /System 将恶意证书作为受信任的根证书安装到系统密钥链中。

缓解

HTTP 公钥固定(HPKP)是一种用来缓解潜在中间人情况的方法,在这种情况下,攻击者通过强制使用预期的证书来使用错误颁发的或欺诈性的证书来拦截加密通信。

Windows 组策略可用于管理根证书,HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\ProtectedRootsFlags 值可设置为 1,以防止非管理员用户在自己的 HKCU 证书库中进行进一步的根安装。

检测

系统的根证书不太可能经常更改。监视安装在系统上的新证书,这可能是因为恶意活动。 检查新系统上预安装的证书,以确保没有存在不必要的或可疑的证书。 Microsoft 通过 authroot.stl 在线提供可信赖的根证书列表。 也可以使用 Sysinternals Sigcheck 实用程序 (sigcheck.exe -tuv) 转储证书存储的内容,并列出未以 Microsoft 证书信任列表为根的有效证书。

已安装的根证书位于注册表中的 HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates\[HKLM or HKCU]\Software[\Policies]\Microsoft\SystemCertificates\Root\Certificates\。 以下根证书子集在 Windows 系统中是一致的,可以用于比较:

  • 18F7C1FCC3090203FD5BAA2F861A754976C8DD25
  • 245C97DF7514E7CF2DF8BE72AE957B9E04741E85
  • 3B1EFD3A66EA28B16697394703A72CA340A05BD5
  • 7F88CD7223F3C813818C994614A89C99FA3B5247
  • 8F43288AD272F3103B6FB1428485EA3014C0BCFE
  • A43489159A520F0D93D032CCAF37E7FE20A8B419
  • BE36A4562FB2EE05DBB3D32323ADF445084ED656
  • CDD4EEAE6000AC7F40C3802C171E30148030C072