英伟达数据被盗后续：黑客用证书将病毒伪装成显卡驱动

　　

晓查 发自 凹非寺
量子位 | 公众号 QbitAI

英伟达机密数据被盗，让广大网友吃了不少瓜。
但从现在起，每个人都要小心了，别只顾着吃瓜了。
因为黑客们正在用被盗数据制造能骗过系统的病毒。
这次泄漏的数据中，包括英伟达开发人员用于签署驱动程序和可执行文件的两个签名证书。

△ 黑客获得的签名证书之一
拿到证书后，黑客就可以把恶意程序伪装成英伟达开发的软件，比如显卡驱动，从而骗过系统。
在线查毒平台VirusTotal显示，黑客已经开始尝试用证书给远程访问木马签名了。安全人员也注意到了这一点。

现在黑客和安全人员正在进行着一场攻防大战。
黑客们将打包好的病毒上传到VirusTotal，这里几乎集成了市面上所有杀毒软件。
如果没被杀毒软件查出来，那就说明恶意代码比较安全，可以投放使用了。

除了上面所说的木马外，还有人用证书对Windows驱动程序进行签名。
虽然用于签名的证书已经过期，但仍然会对Windows系统造成风险。
因为Windows系统为了保证向下兼容性，防止系统无法启动，在某些情况下会接受2015年7月29日之前证书签发的驱动程序。
所以用着过期证书，病毒也一样能伪装成合法的英伟达驱动程序。

那用户应该怎么办，才能防止中毒呢？
微软企业和操作系统安全总监David Weston在Twitter上给出了对策：以管理员身份配置Windows Defender应用程序控制策略，这样就能控制可以加载哪些驱动程序，防止病毒被加载到系统中。
然而，使用这种方法比较复杂，并不适合电脑小白。
有人建议微软撤销对这两个英伟达过期证书的许可，但这又有可能导致真的英伟达驱动程序被阻止。
微软真的有点难办。
不过好消息是，虽然系统自带反病毒软件不好使，但由VirusTotal的扫描结果显示，现在的杀毒软件很多能发现伪装的病毒，事情可能并没有想象的那么糟。
参考链接：
[1]https://www.theregister.com/2022/03/05/nvidia_stolen_certificate/
[2]https://www.bleepingcomputer.com/news/security/malware-now-using-nvidias-stolen-code-signing-certificates/

---