安装根证书

对手可能会在被破坏的系统上安装根证书，以避免连接到对手控制的Web服务器时出现警告。根证书用于公钥加密中，以识别根证书颁发机构 (CA)。当安装根证书时，系统或应用程序将信任由根证书签名的证书链中的证书。(引用: Wikipedia Root Certificate) 证书通常用于在Web浏览器中建立安全的TLS/SSL通信。当用户尝试浏览呈现不受信任证书的网站时，将显示错误消息以警告用户安全风险。根据安全设置，浏览器可能不允许用户与网站建立连接。 在被破坏的系统上安装根证书将为对手提供一种降低系统安全性的方法。对手已使用此技术避免在被破坏的系统通过HTTPS连接到对手控制的Web服务器时出现安全警告，这些服务器伪装成合法网站以收集登录凭据。(引用: Operation Emmental) 非典型根证书也已由制造商或在软件供应链中预安装，并与恶意软件/广告软件结合使用，以提供中间人攻击能力，用于拦截通过安全TLS/SSL通信传输的信息。(引用: Kaspersky Superfish) 根证书（及其相关链）也可以被克隆和重新安装。克隆的证书链将携带许多与源相同的元数据特征，并可用于签署恶意代码，从而绕过用于阻止执行和/或发现持久性工件的签名验证工具（如：Sysinternals、防病毒等）。(引用: SpectorOps Code Signing Dec 2017) 在macOS中，Ay MaMi恶意软件使用/usr/bin/security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain /path/to/malicious/cert将恶意证书作为受信任的根证书安装到系统钥匙串中。(引用: objective-see ay mami 2018)