Новости о вредоносных атаках на Mac или Windows, безусловно, не являются чем-то новым для сегодняшних пользователей Интернета. Что еще хуже, в центре внимания уже оказались такие варианты, как загрузочные вирусы, мошеннические вложения файлов и макровирусы. Если вы думаете, что все начинается и заканчивается вредоносным ПО, вы ошибаетесь. Это всего лишь признак того, что что-то еще впереди, считайте это тревожным звонком.
Недавнее исследование, проведенное Исследовательским институтом кибербезопасности (CSRI), показало, насколько рискуют сертификаты подписи цифрового кода. Червь Stuxnet был первым такого рода, который был использован для компрометации иранского процесса ядерного обогащения в 2005 году. Недавним примером злоупотребления сертификатом подписи цифрового кода стала атака на CCleaner.
Digital Сертификаты подписи кода:
Цифровой сертификат похож на удостоверение личности, которое удостоверяет личность человека или компании. Они выдаются доверенным центром сертификации (CA).
img src: SSL.org
Центры сертификации выдают цифровые сертификаты для подтверждения личности и полномочий владельца. Открытый ключ вместе с другой идентифицирующей информацией встроен в каждый цифровой сертификат, выданный физическому лицу или компании. Эти сертификаты имеют криптографическую подпись, что подтверждает целостность данных и подтверждает их использование.
Компьютерное приложение или программное обеспечение с цифровым сертификатом пользуется доверием компьютера и позволяет выполнять программу без каких-либо предупреждающих сообщений.
Как это происходит? Цифровые сертификаты под угрозой?Законно подписанные цифровые сертификаты продаются в даркнете по цене до 1200 долларов США (за сертификат). Хакеры используют эти сертификаты для связи своего вредоносного кода с доверенными поставщиками программного обеспечения, что снижает риск обнаружения вредоносного ПО. Таким образом, они легко обходят целевые сети и безопасность компьютеров пользователей.
Нужно ли мне беспокоиться?
Группа исследователей безопасности из Университета Мэриленда, Колледж-Парк, Дувона Кима, Бумджуна Квона и Тудора Думитраса обнаружила, что широко распространено вредоносное ПО с цифровой подписью. Всего уже обнаружено 325 подписанных образцов вредоносного ПО. Из них 189 имеют действительные цифровые подписи.
«Такие искаженные подписи полезны для злоумышленника: мы обнаружили, что простое копирование подписи Authenticode из законного образца в неподписанный образец вредоносного ПО может помочь вредоносному ПО обойти обнаружение AV. », — заявили исследователи.
27 из этих скомпрометированных сертификатов tes уже отозваны, хотя на данный момент оставшиеся 84 сертификата по-прежнему пользуются доверием системы до тех пор, пока не будут отозваны.
«Большая часть (88,8%) семейств вредоносных программ полагаются на один сертификат, что говорит о том, что оскорбительные сертификаты в основном контролируются авторами вредоносного ПО, а не третьими лицами», — заявили трио (Довон Ким, Бумджун Квон и Тудор Думитрас из Университета Мэриленда, Колледж-Парк).
Источник: thehackernews.com
Даже после того, как сертификаты были отозваны, исследователи обнаружили, что киберпреступникам не удастся немедленно остановить их злоупотребление. Так как некоторые антивирусные программы не распознают вредоносную программу в отозванных сертификатах. То есть вредоносный код будет беспрепятственно запускаться в системе.
Хакеры могут легко добавить вредоносный код в любой действительный системный файл Windows, подписанный Microsoft, или в файл Microsoft Office. Поэтому они скрываются от приложений безопасности, поскольку файлы, подписанные Microsoft, добавляются в белый список программы безопасности. Это сделано во избежание ложного обнаружения, которое может привести к удалению важных системных файлов и сбою системы.
Что я могу сделать, чтобы оставаться защищенным?
- Всегда обновляйте свою операционную систему и браузеры.
- Избегайте добавления новых центров сертификации в зону корневых сертификатов.
- Блокируйте файл от загрузки, предоставленный неизвестным разработчиком.
- Всегда отслеживайте доверенные сертификаты.
- Устанавливайте решения для обеспечения безопасности конечных точек
«Вредоносное ПО с цифровой подписью может обходить механизмы защиты системы , которые устанавливают или запускают только программы с действительными подписями». читает документ «Сертифицированное вредоносное ПО: измерение нарушений доверия в PKI для подписи кода Windows».
Это действительно серьезный вопрос: доступ хакеров к действительным сертификатам означает, что ничто не защищено. Как антивирусная программа, так и система не смогут выявить эти угрозы. Теперь обойти антивирусную программу легко.
Список сертификатов, которыми злоумышленники злоупотребляют, можно проверить на сайте signedmalware.org.
Читать: 0
