NVIDIA外流「代码签章」遭黑客利用将恶意软件伪装成官方驱动程序

　　就在上个礼拜，显卡大厂NVIDIA遭到了黑客团体Lapsus$入侵，窃取并外泄了大量来自公司内部的商业机密数据，其中甚至还包含了DLSS技术的原始码。而现在，这些外流的数据与「代码签章认证」（code-signing certificate）都已经陆续开始遭到有心人士的利用，不仅借此获得了部分机器的远端控制权限，甚至还用来掩饰一些恶意软件。　　官方代码让恶意软件能够通过操作系统的认证　　根据Techpowerup的报导，这些认证已经被用来散布某种全新类型的恶意软件，而Bleeping Computer网站还在他们的相关报导中列出了Cobalt Strike信标、Mimikatz、后门以及远端访问木马（Remote Access Trojans，RAT）等利用这种方式部属的恶意软件。　　简单说明一下，所谓的「代码签章认证」是开发者们用来签署可执行档案以及驱动程序的方式，在完成了这道手续后，才会将这些程序公诸于世。对于Windows系统来说，这是一种更加安全的防护措施，确保用户能够验证这些原始档案的所有权。因为微软会要求所有核心模式的驱动程序都必须先经过签章，不然操作系统会直接拒绝运行这类档案。

　　如果有心人士能够取得来自NVIDIA的官方代码签章，那操作系统就无法自动侦测这些恶意软件，如果用户本身不够小心，下载到伪装成驱动程序的恶意软件，就会导致整台电脑陷入严重的资安危机中。　　资安研究人员已回报可疑序列码　　当黑客团队Lapsus$入侵NVIDIA时，他们曾一度要求这间公司必须公开释出能让旗下显卡产品绕过「加密货币算力限制」的方式，NVIDIA当然没有选择妥协。在那之后，Lapsus$不仅直接公开了他们的代码签章认证，同时还释出了旗下7.1万员工的个人资料、DLSS技术原始码，甚至还有一些与次世代GPU名称有关的文件。　　当然，许多潜伏于网络中的黑客很快就将这波外流的认证代码当成了武器库，利用NVIDIA官方的正统代码当成一种伪装，向不知情的用户们散布各种由他们设计的恶意软件。以目前来说，这些代码同时被用来认证Windows的驱动程序以及远端木马软件Quasar，而防毒分析软件VirusTotal目前显示的数据，已经有46个资安供应商和1种沙盒机制（sandbox）将这个软件标记为恶意软件。　　在资安研究人员Kevin Beaumont以及Will Dormann的回报下，Bleeping Computer网站成功找出了其中两个疑似为恶意软件伪装的驱动程序序列码，希望用户们能够格外留意，避免造成潜在的资安问题：　　43BB437D609866286DD839E1D00309F5 　　14781bc862e8dc503a559346f5dcc518 　　这两个代码都是NVIDIA曾经使用过的代码，即使目前已经过期，但用户们的操作系统依然会照常允许使用。如果因为某些理由不得不从第三方的网站下载驱动程序时，最好仔细注意一下安装程序的序列码。虽然Windows确实能够藉由设定防堵采用特定代码签章的程序，但对于不熟悉操作方式的用户来说，这似乎并不是个最方便的选择，也有可能会导致无法安装来自NVIDIA旗下的正统驱动程序。