Nyheter om attacker med skadlig programvara riktad mot Mac eller Windows är verkligen inget nytt för internetanvändare idag. För att göra saken värre har varianter som startvirus, oseriösa filbilagor och makrovirus redan kommit i rampljuset. Om du tror att allt börjar och slutar med skadlig programvara har du fel. Det är bara ett tecken på saker som kommer, se detta som en alarmerande klocka.
En nyligen genomförd studie utförd av Cyber Security Research Institute (CSRI) avslöjade hur digitala kodsigneringscertifikat är i fara. Stuxnet-masken var den första av det här slaget som användes för att äventyra den iranska kärnkraftsanrikningen 2005. Ett färskt exempel på missbruk av digitalt kodsigneringscertifikat var attacken mot CCleaner.
Digital Certifikat för kodsignering:
Ett digitalt certifikat är som ett identitetskort, som ger en identitet till en individ eller ett företag. De utfärdas av betrodd certifikatutfärdare (CA).
img src: SSL.org
Certifieringsmyndigheter utfärdar digitala certifikat för att godkänna innehavarens identitet och auktoritet. En offentlig nyckel tillsammans med annan identifierande information är inbäddad i varje digitalt certifikat som utfärdas till en individ eller ett företag. Dessa certifikat är kryptografiskt signerade, autentiserar dataintegriteten och validerar dess användning.
En datorapplikation eller programvara med digitalt certifikat är betrodd av datorn och tillåter programkörning utan något varningsmeddelande.
Hur görs Digitala certifikat i riskzonen?Legitimt signerade digitala certifikat finns till försäljning på Dark Web till ett pris av upp till 1 200 $ (per certifikat). Hackare använder dessa certifikat för att länka sin skadliga kod till pålitliga programvaruleverantörer, vilket minskar risken för att skadlig kod upptäcks. Således kringgår de enkelt riktade nätverk och användarnas maskinsäkerhet.
Behöver jag oroa mig?
Ett team av säkerhetsforskare från University of Maryland, College Park, Doowon Kim, BumJun Kwon och Tudor Dumitras har funnit att digitalt signerad skadlig programvara är utbredd. Totalt 325 undertecknade skadlig programvara har redan upptäckts. Av vilka 189 har giltiga digitala signaturer.
“Sådana missbildade signaturer är användbara för en motståndare: vi finner att bara kopiering av en Authenticode-signatur från ett legitimt prov till ett osignerat skadlig program kan hjälpa skadlig programvara att kringgå AV-detektering ", sa forskarna.
27 av dessa komprometterade certifikaten tester har redan återkallats, även om de återstående 84 certifikaten fortfarande är betrodda av systemet tills de återkallas.
“En stor del (88,8 %) av skadlig programvara förlitar sig på ett enda certifikat, vilket tyder på att otillåtna certifikat kontrolleras för det mesta av skadlig programvara snarare än av tredje part”, sa trion (Doowon Kim, BumJun Kwon och Tudor Dumitras från University of Maryland, College Park).
Src: thehackernews.com
Även efter att certifikaten har återkallats har forskare funnit att cyberbrottslingar inte kommer att stoppas omedelbart från att missbruka dem. Eftersom vissa antivirusprogram inte kan känna igen det skadliga programmet i de återkallade certifikaten. Det vill säga, skadlig kod kommer att köras på systemet utan några hinder.
Hackare kan enkelt lägga till den skadliga koden till någon av de giltiga Microsoft-signerade Windows-systemfilerna eller till Microsoft Office-filen. Därför gömmer man sig från säkerhetsapplikationerna när filerna signerade av Microsoft läggs till i vitlistan över säkerhetsprogram. Detta görs för att undvika falsk upptäckt som kan orsaka radering av kritiska systemfiler och systemkrasch.
Vad kan jag göra för att förbli skyddad?
- Håll alltid ditt operativsystem och webbläsare uppdaterade.
- Undvik att lägga till nya certifikatutfärdare i rotcertifikatzonen.
- Blockera en fil från nedladdning levererad av okänd utvecklare.
- Håll alltid koll på betrodda certifikat.
- Installera slutpunktssäkerhetslösningar
"Digitalt signerad skadlig programvara kan kringgå systemskyddsmekanismer som installerar eller startar endast program med giltiga signaturer." läser uppsatsen "Certified Malware: Measuring Breaches of Trust in the Windows Code-Signing PKI."
Detta är verkligen en allvarlig sak, hackare som har tillgång till de giltiga certifikaten betyder att ingenting är säkert. Som ett antivirusprogram och systemet kommer inte att kunna identifiera dessa hot. Det är nu lätt att undvika ett antivirusprogram.
Du kan kontrollera listan över certifikat som missbrukas av angripare på signedmalware.org.
Läs: 0
