Čo je to malvér podpísaný kódom a ako tomu zabrániť?

Reklama

Podpisovanie kódu je prax kryptografického podpisovania softvéru, aby operačný systém a jeho používatelia mohli overiť, či je bezpečný. Podpisovanie kódu funguje dobre, z veľkej časti. Väčšinu času iba správny softvér používa svoj zodpovedajúci kryptografický podpis.

Používatelia môžu bezpečne sťahovať a inštalovať a vývojári chránia dobré meno svojho produktu. Hackeri a distribútori škodlivého softvéru však používajú tento presný systém, aby pomohli prekĺznutiu škodlivého kódu cez antivírusové balíky a ďalšie bezpečnostné programy.

Ako funguje malware a ransomware podpísaný kódom?

Čo je malvér podpísaný kódom?

Ak je softvér podpísaný kódom, znamená to, že softvér má úradný kryptografický podpis. Certifikačná autorita (CA) vydáva softvér s certifikátom potvrdzujúcim, že softvér je legitímny a bezpečný na používanie.

Ešte lepšie je, že váš operačný systém sa stará o certifikáty, kontrolu kódu a overenie, takže sa nemusíte obávať. Napríklad Windows používa tzv reťaz certifikátov. Reťazec certifikátov pozostáva zo všetkých certifikátov potrebných na zabezpečenie legitímnosti softvéru v každom kroku.

„Reťazec certifikátov pozostáva zo všetkých certifikátov potrebných na certifikáciu subjektu identifikovaného koncovým certifikátom. V praxi to zahŕňa konečný certifikát, certifikáty sprostredkovateľských CA a certifikát koreňového CA, ktorému dôverujú všetky strany v reťazci. Každý sprostredkujúci CA v reťazci je držiteľom certifikátu vydaného CA o jednu úroveň vyššie v hierarchii dôveryhodnosti. Koreňový CA vydáva certifikát pre seba. “

Keď systém funguje, môžete veriť softvéru. CA a systém podpisovania kódov vyžadujú obrovské množstvo dôvery. Malvér je v konečnom dôsledku škodlivý, nedôveryhodný a nemal by mať prístup k certifikačnej autorite alebo podpisovaniu kódu. Našťastie tento systém v praxi našťastie funguje.

Kým vývojári a hackeri škodlivého softvéru nájdu cestu, samozrejme.

Hackeri ukradnú certifikáty certifikačným autoritám

Váš antivírus vie, že malware je škodlivý, pretože má negatívny vplyv na váš systém. Spúšťa varovania, používatelia hlásia problémy a antivírus môže vytvoriť podpis škodlivého softvéru na ochranu ostatných počítačov pomocou rovnakého antivírusového nástroja.

Ak však vývojári škodlivého softvéru môžu podpísať svoj škodlivý kód pomocou oficiálneho kryptografického podpisu, nič z toho sa nestane. Namiesto toho bude malware s kódom podpísaný prednými dverami, keď váš antivírus a operačný systém rozbalia červený koberec.

Mikro výskum Trend zistili, že existuje celý trh s malvérom, ktorý podporuje vývoj a distribúciu malvéru podpísaného kódom. Operátori škodlivého softvéru získajú prístup k platným certifikátom, ktoré používajú na podpísanie škodlivého kódu. Nasledujúca tabuľka zobrazuje objem škodlivého softvéru používajúceho podpisovanie kódu na zabránenie antivírusu od apríla 2018.

Výskum spoločnosti Trend Micro zistil, že približne 66% vzorkovaného škodlivého softvéru bolo podpísaných kódom. Niektoré typy škodlivého softvéru navyše prichádzajú s viacerými inštanciami na podpísanie kódu, ako sú trójske kone, kvapkadlá a ransomware. (Tu sú sedem spôsobov, ako sa vyhnúť útoku ransomware 7 spôsobov, ako sa vyhnúť tomu, aby vás zasiahla spoločnosť RansomwareRansomware môže doslova zničiť váš život. Robíte dosť, aby ste predišli strate osobných údajov a fotografií do digitálneho vydierania? Čítaj viac !)

Odkiaľ pochádzajú osvedčenia o podpise kódu?

Distribútori a vývojári škodlivého softvéru majú dve možnosti týkajúce sa úradne podpísaného kódu. Certifikáty sú buď odcudzené certifikačnou autoritou (priamo alebo na ďalší predaj), alebo sa hacker môže pokúsiť napodobniť legitímnu organizáciu a napodobniť ich požiadavky.

Ako by ste očakávali, certifikačná autorita je vzrušujúcim cieľom každého hackera.

Nárast malvéru podpísaného v kóde nepodporujú iba hackeri. Údajne bezohľadní dodávatelia s prístupom k legitímnym certifikátom predávajú dôveryhodné certifikáty na podpísanie kódu aj vývojárom a distribútorom škodlivého softvéru. Tím bezpečnostných výskumníkov z Masarykovej univerzity v Českej republike a Maryland Cybersecurity Center (MCC) objavili štyri organizácie predávajúce [PDF] Certifikáty spoločnosti Microsoft Authenticode anonymným kupujúcim.

„Posledné merania ekosystému podpisového kódu Windows poukázali na rôzne formy zneužitia, ktoré autorom malwaru umožňujú vytvárať škodlivý kód obsahujúci platné digitálne podpisy.“

Keď vývojár malvéru získa certifikát Microsoft Authenticode, môže podpísať akýkoľvek malware v snahe odmietnuť podpisovanie bezpečnostných kódov systému Windows a obranu založenú na certifikátoch.

V iných prípadoch hacker namiesto ukradnutia certifikátov ohrozí server na vytváranie softvéru. Keď sa nová verzia softvéru sprístupní verejnosti, má legitímny certifikát. Hacker však môže do procesu zahrnúť aj škodlivý kód. O nedávnom príklade tohto typu útoku si môžete prečítať nižšie.

3 Príklady škodlivého softvéru podpísaného kódom

Ako vyzerá malware s podpísaným kódom? Tu sú tri príklady škodlivého softvéru podpísaného kódom:

1. Stuxnet malware. Malvér zodpovedný za zničenie iránskeho jadrového programu použil na propagáciu dva odcudzené certifikáty a štyri rôzne nulové zneužitia. Certifikáty boli odcudzené dvoma samostatnými spoločnosťami - JMicron a Realtek - ktoré zdieľali jednu budovu. Spoločnosť Stuxnet použila ukradnuté certifikáty, aby sa vyhla vtedy novo zavedenej požiadavke systému Windows, aby všetky ovládače vyžadovali overenie (podpísanie ovládača).
2. Porušenie servera Asus. Niekedy medzi júnom a novembrom 2018 hackeri porušili server Asus, ktorý spoločnosť používa na zasielanie aktualizácií softvéru používateľom. Vedci spoločnosti Kaspersky Lab zistil to okolo Škodlivé aktualizácie dostali 500 000 počítačov so systémom Windows skôr, ako si ich niekto uvedomil. Namiesto toho, aby hackeri ukradli certifikáty, podpísali svoj malware mal legitímnymi digitálnymi certifikátmi Asus predtým, ako softvérový server distribuoval aktualizáciu systému. Našťastie bol malware vysoko zacielený a pevne kódovaný na vyhľadávanie 600 konkrétnych počítačov.
3. Plameňový malware. Modulárny variant malware Flame sa zameriava na krajiny Blízkeho východu a používa podvodne podpísané certifikáty, aby sa predišlo detekcii. (Čo je vlastne modulárny malware? Modulárny malware: Nový tajný útok ukradol vaše údajeZistenie malwaru sa stalo ťažším. Čo je to modulárny malware a ako zabrániť tomu, aby vo vašom počítači spôsobil chaos? Čítaj viac ?) Vývojári plameňa využívali slabý kryptografický algoritmus na nepravdivé podpisovanie certifikátov na podpisovanie kódov, takže sa javí ako keby ich Microsoft podpísal. Na rozdiel od Stuxnet, ktorý obsahoval deštruktívny prvok, je Flame nástrojom špionáže, vyhľadávaním PDF, súborov AutoCAD, textových súborov a iných dôležitých typov priemyselných dokumentov.

Ako sa vyhnúť malwaru podpísanému kódom

Tri rôzne varianty škodlivého softvéru, tri rôzne typy útoku na podpísanie kódu. Dobrou správou je, že väčšina škodlivého softvéru tohto typu je, prinajmenšom v súčasnosti, vysoko cielená.

Druhou stránkou je, že z dôvodu úspešnosti takých variantov škodlivého softvéru, ktorým sa predchádza podpisovaniu kódu detekciu, očakávať, že viac vývojárov škodlivého softvéru použije túto techniku ​​na zabezpečenie toho, aby boli ich vlastné útoky úspešný.

Okrem toho je ochrana pred škodlivým softvérom podpísaným v kóde mimoriadne náročná. Udržiavanie aktuálneho stavu vášho systému a antivírusovej sady je nevyhnutné. Vyhnite sa kliknutiu na neznáme odkazy a pred nasledovaním si skontrolujte, kam vás niektorý odkaz presmeruje.

Skontrolujte náš zoznam, okrem aktualizácie antivírusu ako sa môžete vyhnúť malvéru Antivírusový softvér nestačí: 5 vecí, ktoré musíte urobiť, aby ste sa zabránilo malvéruPo nainštalovaní antivírusového softvéru zostaňte v bezpečí online. Postupujte podľa týchto krokov na bezpečnejšie používanie počítača. Čítaj viac !