NVIDIA数据被盗后，黑客将可发行可通过系统认证的「驱动程序病毒」来入侵

码农 • 2023年9月23日 18:39 • 投稿

NVIDIA机密资料被黑客入侵，似乎很多人都觉得不关自己的事，不过现在起大家可能都要小心了。因为黑客们正在利用这些被盗资料的内容，制造能骗过系统的「驱动程序病毒」。

这次泄漏的数据中，包括英伟达开发人员用于签署驱动程序和可执行文档的两个签名证书。

骇客获得的签名证书之一 ▲ 黑客获得的签名证书之一

拿到证书后，黑客就可以把恶意程式伪装成NVIDIA开发的软件，比如显卡驱动程序，从而骗过系统。线上防毒平台 VirusTotal 显示，黑客已经开始尝试用证书给远程木马签名了。安全人员也注意到了这一点。

现在黑客和安全人员正在进行着一场攻防大战。骇客们将打包好的病毒上传到 VirusTotal来「试毒」。这里几乎内建了市面上所有杀毒软件，如果没被杀毒软件查出来，那就说明恶意代码比较「安全」，黑客就可以投放使用了。

除了上面所说的木马外，还有人用证书对Windows驱动程序进行签名。虽然用于签名的证书已经过期，但仍然会对Windows系统造成风险。

因为 Windows 系统为了保证向下兼容性，防止系统无法启动，在某些情况下会接受 2015 年 7 月 29 日之前证书签发的驱动程序。所以用着过期证书，病毒也一样能伪装成合法的NVIDIA驱动程序。

那用户应该怎么办，才能防止中毒呢？微软企业和操作系统安全总监 David Weston 在推特上所说了对策：以管理员身份配置 Windows Defender 应用程序控制策略，这样就能控制可以加载哪些驱动程序，防止病毒被加载到系统中。

然而，使用这种方法比较复杂，并不适合一般电脑用户。有人建议微软撤销对这两个NVIDIA过期证书的许可，但这又有可能导致真的NVIDIA驱动程序被阻止。

微软真的有点难办。不过好消息是，虽然系统自带反病毒软件不好使，但由 VirusTotal 的扫瞄结果显示，现在的杀毒软件很多能发现伪装的病毒，事情可能并没有想象的那么糟。