Nyheter om malware-angrep rettet mot Mac eller Windows er absolutt ikke noe nytt for internettbrukere i dag. For å gjøre vondt verre, har varianter som oppstartsvirus, useriøse filvedlegg og makrovirus allerede kommet i rampelyset. Hvis du tror at alt begynner og slutter med skadelig programvare, tar du feil. Det er bare et tegn på ting som skal komme, se på dette som en alarmerende bjelle.
En fersk studie utført av Cyber Security Research Institute (CSRI) avslørte hvordan digitale kodesigneringssertifikater er i fare. Stuxnet-ormen var den første av denne typen som ble brukt til å kompromittere den iranske kjernefysiske anrikningsprosessen i 2005. Et nylig eksempel på misbruk av digital kodesigneringssertifikat var angrepet på CCleaner.
Digital Kodesigneringssertifikater:
Et digitalt sertifikat er som et identitetskort, som gir en identitet til en person eller bedrift. De er utstedt av klarert sertifiseringsinstans (CA).
img src: SSL.org
Sertifiseringsmyndighetene utsteder digitale sertifikater for å godkjenne innehaverens identitet og autoritet. En offentlig nøkkel sammen med annen identifiserende informasjon er innebygd i hvert digitalt sertifikat som utstedes til en person eller et selskap. Disse sertifikatene er kryptografisk signert, autentiserer dataintegriteten og validerer bruken.
En dataapplikasjon eller programvare med digitalt sertifikat er klarert av datamaskinen og tillater programkjøring uten noen advarselsmelding.
Hvordan Digitale sertifikater i fare?Legitiimt signerte digitale sertifikater er til salgs på Dark Web til en pris på opptil 1200$ (per sertifikat). Hackere bruker disse sertifikatene til å koble sin skadelige kode med pålitelige programvareleverandører, noe som reduserer risikoen for at skadelig programvare blir oppdaget. Dermed omgår de enkelt målrettede nettverk og brukernes maskinsikkerhet.
Trenger jeg å bekymre meg?
Et team av sikkerhetsforskere fra University of Maryland, College Park, Doowon Kim, BumJun Kwon og Tudor Dumitras har funnet ut at digitalt signert skadelig programvare er utbredt. Totalt 325 signerte skadevareprøver er allerede oppdaget. Av disse har 189 gyldige digitale signaturer.
“Slike misformede signaturer er nyttige for en motstander: vi finner ut at det å kopiere en Authenticode-signatur fra en legitim prøve til en usignert skadelig programvare kan hjelpe skadelig programvare å omgå AV-deteksjon ", sa forskerne.
27 av disse kompromitterte sertifikatet tester er allerede tilbakekalt, selv om foreløpig de resterende 84 sertifikatene fortsatt er klarert av systemet til de trekkes tilbake.
“En stor del (88,8 %) av skadevarefamilier er avhengige av ett enkelt sertifikat, noe som antyder at misbrukende sertifikater er for det meste kontrollert av skadevareforfatterne i stedet for av tredjeparter," sa trioen (Doowon Kim, BumJun Kwon og Tudor Dumitras fra University of Maryland, College Park).
Src: thehackernews.com
Selv etter at sertifikatene er tilbakekalt, har forskere funnet ut at cyberkriminelle ikke umiddelbart vil bli stoppet fra å misbruke dem. Siden noen antivirusprogrammer ikke klarer å gjenkjenne det skadelige programmet i de tilbakekalte sertifikatene. Det vil si at ondsinnet kode vil kjøre på systemet uten noen hindring.
Hackere kan enkelt legge til den skadelige koden til alle de gyldige Microsoft-signerte Windows-systemfilene eller til Microsoft Office-filen. Derfor gjemmer seg fra sikkerhetsapplikasjonene ettersom filene signert av Microsoft legges til hvitelisten over sikkerhetsprogrammer. Dette gjøres for å unngå falsk gjenkjenning som kan føre til sletting av kritiske systemfiler og systemkrasj.
Hva kan jeg gjøre for å holde meg beskyttet?
- Hold alltid operativsystemet og nettleserne oppdatert.
- Unngå å legge til nye CA-er i sonen for rotsertifikater.
- Blokkér en fil fra nedlasting levert av ukjent utvikler.
- Hold alltid oversikt over pålitelige sertifikater.
- Installer sikkerhetsløsninger for endepunkt
“Digitalt signert skadelig programvare kan omgå systembeskyttelsesmekanismer som installerer eller starter bare programmer med gyldige signaturer." leses papiret «Certified Malware: Measuring Breaches of Trust in the Windows Code-Signing PKI.»
Dette er virkelig en alvorlig sak, hackere som har tilgang til de gyldige sertifikatene betyr at ingenting er sikkert. Som et antivirusprogram og systemet vil ikke være i stand til å identifisere disse truslene. Det er nå enkelt å unngå et antivirusprogram.
Du kan sjekke listen over sertifikater misbrukt av angripere på signedmalware.org.
Les: 0
