| ID | Name |
|---|---|
| T1553.001 | 伪造代码签名证书 |
| T1553.002 | 供应链信任劫持 |
| T1553.003 | 驱动程序签名白名单滥用 |
供应链信任劫持(Supply Chain Trust Hijacking)是通过污染软件分发渠道或开发工具链,将恶意代码注入合法签名程序的攻击技术。攻击者利用软件供应商的代码签名证书,在构建流水线或更新服务器中植入后门,生成携带恶意功能的合法签名程序。该技术借助软件供应链的固有信任传递机制,使恶意载荷获得与原始合法程序相同的信任级别,形成防御体系的信任盲区。
该技术的匿迹效果源于对信任传递链的完整性破坏与上下文伪装。攻击者选择具有自动更新机制的软件产品作为载体,在数字签名流程完成后实施代码注入,确保最终二进制文件既包含有效签名又携带恶意功能。关键实施要点包括:1)控制软件编译环境或持续集成(CI)系统实现恶意代码植入;2)保持程序原有功能完整性以避免用户怀疑;3)利用签名时间戳服务器的合规性增强隐蔽性。该技术使得恶意代码继承合法程序的全部信任属性,传统基于签名验证的静态检测机制完全失效,防御方需依赖行为分析或内存取证等动态检测手段才能识别威胁。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon