不止一个!戴尔又一根证书漏洞被黑客利用

2015-11-27

微步在线在全球范围内首个捕获到黑客开始利用戴尔又一根证书(DSDTestProvider)私钥对木马样本进行签名。

本月25日我们讨论了戴尔eDellRoot根证书漏洞,同样的问题今天又被曝露出来:在某些戴尔系统中发现了第二个自签名的根证书DSDTestProvider,并且同样附带了私钥。

今天上午,微步在线的安全分析云x.threatbook.cn捕获到使用此证书签名的恶意软件(参见链接:https://x.threatbook.cn/view_report/scan/2a0c545ba6eda79d13b4555790ee1e5ecf512a8bd2b588180d1030bd0f03b977

此恶意软件是Conficker家族的变体。我们分析,这可能是黑客在使用DSDTestProvider证书进行抗检测试验,和之前eDellRoot的情况类似。

根据以上情况,我们建议安全厂商对于任何使用DSDTestProvider签名的程序都需要特别注意并仔细检查。相应的IOC文件已经在我们网站更新并推送给我们的客户。我们会紧密跟踪事件的发展,使我们的客户及整个社区及时得到警报及保护信息。

戴尔产品用户应该检查自己的系统,并从受信任的根证书中删除DSDTestProvider(打开启动——输入certmgr.msc——跳出证书管理界面——点开受信任的根证书颁发机构,查看有没有名为DSDTestProvider的证书)。

到目前为止,我们还没有看到任何来自戴尔有关如何删除此证书的官方回应或说明。

机读威胁情报OpenIOC下载链接: https://threatbook.cn/ioc/dsdtestprovider/

返回Blog首页