Hvad er kodeunderskrevet malware og hvordan undgår du det?
Reklame
Kodesignering er praksis med kryptografisk signering af et stykke software, så operativsystemet og dets brugere kan kontrollere, at det er sikkert. Kodesignering fungerer stort set stort. Størstedelen af tiden er det kun den korrekte software, der bruger den tilsvarende kryptografiske signatur.
Brugere kan downloade og installere sikkert, og udviklere beskytter ry for deres produkt. Imidlertid bruger hackere og malware-distributører det nøjagtige system til at hjælpe ondsindet kode med at glide forbi antivirus suiter og andre sikkerhedsprogrammer.
Hvordan fungerer kodesigneret malware og ransomware?
Hvad er kodeskiltet malware?
Når software er kodesigneret, betyder det, at softwaren har en officiel kryptografisk signatur. En Certificate Authority (CA) udsteder softwaren med et certifikat, der bekræfter, at softwaren er legitim og sikker at bruge.
Bedre er, at dit operativsystem sørger for certifikater, kodekontrol og verifikation, så du behøver ikke at bekymre dig. For eksempel bruger Windows det, der kaldes en certifikatkæde. Certifikatkæden består af alle de certifikater, der er nødvendige for at sikre, at softwaren er legitim på hvert trin af vejen.
”En certifikatkæde består af alle de certifikater, der er nødvendige for at certificere det emne, der er identificeret med slutcertifikatet. I praksis inkluderer dette slutcertifikatet, certifikaterne for mellemliggende CA'er og certifikatet for en root CA, der er tillid til af alle parter i kæden. Hver mellemliggende CA i kæden har et certifikat udstedt af CA et niveau over det i tillidshierarkiet. Roden CA udsteder et certifikat for sig selv. ”
Når systemet fungerer, kan du stole på software. CA- og kodesigneringssystem kræver en enorm mængde tillid. I forlængelse heraf er malware ondsindet, upålidelig og bør ikke have adgang til en Certificate Authority eller kodesignering. Heldigvis er det i praksis sådan, hvordan systemet fungerer.
Indtil malware-udviklere og hackere selvfølgelig finder en vej rundt det.
Hackere stjæler certifikater fra certifikatautoriteter
Din antivirus ved, at malware er ondsindet, fordi det har en negativ effekt på dit system. Det udløser advarsler, brugere rapporterer problemer, og antivirus kan oprette en malware-signatur til at beskytte andre computere ved hjælp af det samme antivirusværktøj.
Hvis malware-udviklerne imidlertid kan underskrive deres ondsindede kode ved hjælp af en officiel kryptografisk signatur, sker der ikke noget af det. I stedet går den kodesignerede malware gennem hoveddøren, når din antivirus og operativsystemet ruller den røde løber ud.
Trend Micro-forskning fandt, at der er et helt malware-marked, der understøtter udvikling og distribution af kodesigneret malware. Malware-operatører får adgang til gyldige certifikater, som de bruger til at underskrive ondsindet kode. Følgende tabel viser mængden af malware ved hjælp af kodesignering for at undgå antivirus fra april 2018.
Trend Micro-undersøgelsen fandt, at omkring 66 procent af den indsamlede malware var kodesigneret. Desuden kommer visse malware-typer med flere forekomster af kodesignatur, såsom trojanske heste, droppers og ransomware. (Her er syv måder at undgå et ransomware-angreb 7 måder at undgå at blive ramt af Ransomware 7 måder at undgå at blive ramt af Ransomware Ransomware kan bogstaveligt talt ødelægge dit liv. Gør du nok for at undgå at miste dine personlige data og fotos til digital afpresning? Læs Mere !)
Hvor kommer kodesigneringscertifikater fra?
Distributører og udviklere af malware har to muligheder for officielt underskrevet kode. Certifikater er enten stjålet fra en Certificate Authority (direkte eller til videresalg), eller en hacker kan forsøge at efterligne en legitim organisation og forfalske deres krav.
Som du kunne forvente er en Certificate Authority et forfriskende mål for enhver hacker.
Det er ikke kun hackere, der fremmer stigningen i kodesigneret malware. Påståede skrupelløse leverandører med adgang til legitime certifikater sælger også betroede kodesigneringscertifikater til malware-udviklere og distributører. Et team af sikkerhedsforskere fra Masaryk University i Tjekkiet og Maryland Cybersecurity Center (MCC) opdagede fire organisationer, der sælger [PDF] Microsoft Authenticode-certifikater til anonyme købere.
"Seneste målinger af økosystemet til Windows-kodesignaturcertifikat har fremhævet forskellige former for misbrug, der giver malware-forfattere mulighed for at producere ondsindet kode, der bærer gyldige digitale signaturer."
Når en malware-udvikler har et Microsoft Authenticode-certifikat, kan de underskrive enhver malware i et forsøg på at ignorere Windows-sikkerhedskodesignering og certifikatbaseret forsvar.
I andre tilfælde snarere end at stjæle certifikaterne, vil en hacker gå på kompromis med en softwareopbygningsserver. Når en ny softwareversion frigives til offentligheden, har den et legitimt certifikat. Men en hacker kan også inkludere deres ondsindede kode i processen. Du kan læse om et nyligt eksempel på denne type angreb nedenfor.
3 Eksempler på kodeunderskrevet malware
Så hvad ser kodesigneret malware ud? Her er tre kodesignerede malware-eksempler:
- Stuxnet malware . Den malware, der var ansvarlig for at ødelægge det iranske nukleare program, anvendte to stjålne certifikater til at formere sig sammen med fire forskellige nul-dages udnyttelse. Certifikaterne blev stjålet fra to separate virksomheder - JMicron og Realtek - der delte en enkelt bygning. Stuxnet brugte de stjålne certifikater for at undgå det daværende nyindførte Windows-krav om, at alle drivere krævede verifikation (chaufførsignering).
- Asus-serverbrud . Engang mellem juni og november 2018 brød hackere en Asus-server, som virksomheden bruger til at skubbe softwareopdateringer til brugerne. Forskere ved Kaspersky Lab fandt, at omkring 500.000 Windows-maskiner modtog den ondsindede opdatering, før nogen indså det. I stedet for at stjæle certifikaterne, underskrev hackerne deres malware med legitime Asus digitale certifikater, før softwareserveren distribuerede systemopdateringen. Heldigvis var malware meget målrettet, hårdkodet for at søge efter 600 specifikke maskiner.
- Flame malware . Modulær malware-variant Flame er målrettet mod mellemøsten og bruger falske underskrevne certifikater for at undgå opdagelse. (Hvad er modulær malware, alligevel Modular Malware: The New Stealthy Attack Stealing Your Data Modular Malware: The New Stealthy Attack Steeling Your Data Malware er blevet sværere at opdage. Hvad er modulær malware, og hvordan du stopper det med at gøre kaos på din pc ? Læs mere?) Flame-udviklerne udnyttede en svag kryptografisk algoritme for at fejlagtigt underskrive kodesigneringscertifikaterne, hvilket gjorde det til at se ud som om Microsoft havde underskrevet dem. I modsætning til Stuxnet, der bar et destruktivt element, er Flame et værktøj til spionage, der søger PDF-filer, AutoCAD-filer, tekstfiler og andre vigtige industrielle dokumenttyper.
Sådan undgås kodesigneret malware
Tre forskellige malware-varianter, tre forskellige typer kodesigneringsangreb. Den gode nyhed er, at de fleste malware af denne type, i det mindste på nuværende tidspunkt, er meget målrettet.
Flipsiden er, at på grund af succesraten for sådanne malware-varianter, der bruger kodesignering for at undgå detektion, kan du forvente, at flere malware-udviklere bruger teknikken for at sikre, at deres egne angreb er succesrige.
Ud over dette er det ekstremt vanskeligt at beskytte mod kodesigneret malware. Det er vigtigt at holde dit system og din antiviruspakke opdateret, undgå at klikke på ukendte links, og dobbeltkontrol, hvor ethvert link fører dig, før du følger det.
Bortset fra at opdatere din antivirus, skal du tjekke vores liste over, hvordan du kan undgå malware Antivirus-software er ikke nok: 5 ting, du skal gøre for at undgå malware Malware Antivirus-software er ikke nok: 5 ting, du skal gøre for at undgå malware Forbliv sikker og sikker online efter installation af antivirus-software ved at følge disse trin for mere sikker computing. Læs mere !
Udforsk mere om: Malware, Online sikkerhed, sikkerhedscertifikat.
