思科 Talos 安全团队发表了两篇博文,披露恶意应用在利用开源工具伪造签名时间戳,而这些恶意应用主要针对中文用户。从 Windows 10 v1607 开始,微软更新了驱动签名政策,不再允许未递交到 Developer Portal 签名的新内核模式驱动,但为了保持向后兼容,使用 2015 年 7 月 29 日之前颁发的最终实体证书签名的驱动程序将继续允许将链式链与受支持的交叉签名 CA 进行关联。这个例外制造了一个漏洞,允许新编译的驱动程序使用 2015 年 7 月 29 日之前颁发或过期的未撤销证书签名。有两个开源工具 HookSignTool 和 FuckCertVerifyTimeValidity 都允许伪造签名日期。主要针对中文用户的恶意程序利用这些开源工具使用窃取的证书进行签名,其中之一是 RedDriver。RedDriver 是一种基于驱动程序的浏览器劫持程序,使用 Windows Filtering Platform (WFP) 拦截浏览器流量,它利用 HookSignTool 伪造签名时间戳,它有一个硬编码的中文浏览器进程名单,针对的明显是中文用户,名单中包含了中国流行的浏览器,如 360 浏览器和 QQ 浏览器。
https://blog.talosintelligence.com/old-certificate-new-signature/
https://blog.talosintelligence.com/undocumented-reddriver/