Nachrichten über Malware-Angriffe auf Mac oder Windows sind für Internetnutzer heutzutage sicherlich nichts Neues. Erschwerend kommt hinzu, dass Varianten wie Bootviren, betrügerische Dateianhänge und Makroviren bereits ins Rampenlicht geraten sind. Wenn Sie denken, dass alles mit Malware beginnt und endet, liegen Sie falsch. Es ist nur ein Zeichen für das, was noch bevorsteht. Betrachten Sie es als eine alarmierende Glocke.
Eine kürzlich vom Cyber Security Research Institute (CSRI) durchgeführte Studie hat gezeigt, wie gefährdet digitale Code-Signing-Zertifikate sind. Der Stuxnet-Wurm war der erste dieser Art, der 2005 zur Kompromittierung des iranischen Atomanreicherungsprozesses eingesetzt wurde. Ein aktuelles Beispiel für den Missbrauch digitaler Codesignaturzertifikate war der Angriff auf CCleaner.
Digital Code Signing-Zertifikate:
Ein digitales Zertifikat ist wie ein Personalausweis, der einer Person oder einem Unternehmen eine Identität verleiht. Sie werden von einer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt.
img src: SSL.org
Zertifizierungsstellen stellen digitale Zertifikate aus, um die Identität und Autorität des Inhabers zu bestätigen. Ein öffentlicher Schlüssel ist zusammen mit anderen identifizierenden Informationen in jedes digitale Zertifikat eingebettet, das an eine Einzelperson oder ein Unternehmen ausgestellt wird. Diese Zertifikate sind kryptografisch signiert, wodurch die Datenintegrität authentifiziert und ihre Verwendung validiert wird.
Eine Computeranwendung oder Software mit digitalem Zertifikat wird vom Computer als vertrauenswürdig eingestuft und ermöglicht die Programmausführung ohne Warnmeldung.
Wie Digitale Zertifikate in Gefahr?Rechtmäßig signierte digitale Zertifikate sind im Dark Web zu einem Preis von bis zu 1.200 $ (pro Zertifikat) erhältlich. Hacker nutzen diese Zertifikate, um ihren Schadcode mit vertrauenswürdigen Softwareanbietern zu verknüpfen und so das Risiko der Erkennung von Malware zu verringern. Dadurch umgehen sie leicht gezielte Netzwerke und die Maschinensicherheit der Benutzer.
Muss ich mir Sorgen machen?
Ein Team von Sicherheitsforschern der University of Maryland, College Park, Doowon Kim, BumJun Kwon und Tudor Dumitras, hat herausgefunden, dass digital signierte Malware weit verbreitet ist. Insgesamt wurden bereits 325 signierte Malware-Beispiele entdeckt. Davon verfügen 189 über gültige digitale Signaturen.
„Solche fehlerhaften Signaturen sind für einen Angreifer nützlich: Wir stellen fest, dass das einfache Kopieren einer Authenticode-Signatur von einem legitimen Beispiel auf ein nicht signiertes Malware-Beispiel dazu beitragen kann, dass die Malware die AV-Erkennung umgeht.“ ”, sagten die Forscher.
27 dieser kompromittierten Zertifikate tes wurden bereits widerrufen, obwohl das System den verbleibenden 84 Zertifikaten vorerst noch vertraut, bis sie widerrufen werden.
„Ein großer Teil (88,8 %) der Malware-Familien verlässt sich auf ein einziges Zertifikat, was darauf hindeutet, dass die „Missbräuchliche Zertifikate werden größtenteils von den Malware-Autoren und nicht von Dritten kontrolliert“, sagte das Trio (Doowon Kim, BumJun Kwon und Tudor Dumitras von der University of Maryland, College Park).
Src: thehackernews.com
Selbst nach dem Widerruf der Zertifikate haben Forscher herausgefunden, dass Cyberkriminelle nicht sofort von einem Missbrauch abgehalten werden können. Da einige Antivirenprogramme das Schadprogramm in den widerrufenen Zertifikaten nicht erkennen. Das bedeutet, dass Schadcode ungehindert auf dem System ausgeführt werden kann.
Hacker können den Schadcode problemlos zu jeder gültigen, von Microsoft signierten Windows-Systemdatei oder zu einer Microsoft Office-Datei hinzufügen. Daher wird es vor den Sicherheitsanwendungen verborgen, da die von Microsoft signierten Dateien zur Whitelist des Sicherheitsprogramms hinzugefügt werden. Dies geschieht, um Fehlerkennungen zu vermeiden, die zum Löschen wichtiger Systemdateien und zum Systemabsturz führen können.
Was kann ich tun, um geschützt zu bleiben?
- Halten Sie Ihr Betriebssystem und Ihre Browser stets auf dem neuesten Stand.
- Vermeiden Sie das Hinzufügen neuer Zertifizierungsstellen zur Stammzertifikatszone.
- Blockieren Sie a Datei vor dem Herunterladen, die von einem unbekannten Entwickler geliefert wurde.
- Behalten Sie immer den Überblick über vertrauenswürdige Zertifikate.
- Installieren Sie Endpunkt-Sicherheitslösungen
„Digital signierte Malware kann Systemschutzmechanismen umgehen, die nur Programme mit gültigen Signaturen installieren oder starten.“ liest das Papier „Zertifizierte Malware: Messung von Vertrauensbrüchen in der Windows Code-Signing PKI“.
Dies ist in der Tat eine ernste Angelegenheit, denn Hacker, die Zugriff auf die gültigen Zertifikate haben, bedeuten, dass nichts sicher ist. Da ein Antivirenprogramm und das System diese Bedrohungen nicht erkennen können. Es ist jetzt einfach, ein Antivirenprogramm zu umgehen.
Sie können die Liste der von Angreifern missbrauchten Zertifikate unter signedmalware.org einsehen.
Lesen: 0