攻擊者利用過期安全證書傳播惡意軟件

網絡罪犯分子一直在嘗試一種新的分發惡意軟件的方法：通過含有指向惡意軟件的“安裝(推薦)”按鈕的過期安全證書虛假警報。

這一計劃背后的惡意軟件運營者顯然是指望用戶不知道安全證書是什么，也不了解安全證書的更新情況，于是利用了用戶希望保持網絡安全的心理。

方案

卡巴斯基實驗室的研究人員表示，這些惡意警報已經出現在許多受感染的、主題不同的網站上被發現，而最早的感染可追溯到2020年1月16日。

欺騙性通知以覆蓋的iframe形式傳遞，該iframe從第三方來源加載內容。事實上，瀏覽器的地址欄顯示了受感染站點的URL，即使顯示了假警報，也會讓警告看起來是合法的。

如果用戶上當并點擊“安裝(推薦)”按鈕，就會收到惡意軟件。在過去的攻擊中，這可能是下載型木馬Buerak或者Mokes后門，但在以后的攻擊中，任何類型的惡意軟件都可以進行分發。

舊技巧的新玩法

惡意軟件運營者多年來一直在使用虛假警報來促使用戶下載特定版本的、廣泛使用的某個軟件(例如Adobe Flash Player、Google Chrome)的新版本，而利用過時安全證書的警報其實只是一個很老的技巧，做了點新花樣。

近期用戶看到安全證書相關警報的頻次相比平時會更高，這和Let’s Encrypt將從3月4日起會撤銷近300萬個TLS證書有關，惡意軟件分發者利用這個時機在積極活動。

為什么ssl證書會過期?

很多人第一直覺是CA機構為了收費所以設置了有效期，這確實是其中一個原因，還處于對安全方面的考慮，CA機構也不能保證一個網站永遠是合法的，所以需要定期的來檢查一下網站，此外還有一個重要的原因是吊銷，當網站的私鑰丟失時，網站應該向證書頒發機構CA申請將他們的證書加入到證書吊銷列表里。當用戶訪問https站點時，瀏覽器會自動向CA請求吊銷列表，如果用戶訪問的站點提供的證書在CRL里，瀏覽器就不信任這個證書，因為攻擊者可能擁有同樣的證書。

所以如果證書永久有效，隨著越來越多的私鑰丟失，吊銷列表也越來越大，因為只有加進去的，沒有剔出去的，這既給CA增加流量壓力，也會增加瀏覽器的流量。而一旦有效期只有幾年，那么CA就可以將那些已經過期了的證書從CRL里剔除就可以了，是不是很專業，總之就是把一些不信任的證書剔除掉。

使用過期的證書會發生的風險

ssl證書能保證網站流量不被劫持，一旦ssl證書過期失效，那么網站流量就很有可能被劫持。對于普通網民來說，如果他們的瀏覽器警告他們網站不安全，或者在這種情況下他們的連接不安全，那么大多數網民一定會選擇不再繼續訪問該網站。