Startseite Bezpečnostní Co je malwarem podepsaný malware a jak se tomu vyhýbáte?

Co je malwarem podepsaný malware a jak se tomu vyhýbáte?

  • Michael Cain
  • 0
  • 2088
  • 171
reklama

Podepisování kódu je praxe kryptografického podepisování kusu softwaru, aby operační systém a jeho uživatelé mohli ověřit, že je bezpečný. Podepisování kódu funguje dobře, z velké části. Většinu času používá odpovídající kryptografický podpis pouze správný software.

Uživatelé si mohou bezpečně stáhnout a nainstalovat a vývojáři chrání pověst svého produktu. Hackeři a distributoři malwaru však používají tento přesný systém, aby pomohli proklouznout škodlivý kód kolem antivirových sad a dalších bezpečnostních programů.

Jak funguje malware a ransomware podepsaný kódem?

Co je malware podepsaný kódem?

Pokud je software podepsán kódem, znamená to, že tento software obsahuje úřední kryptografický podpis. Certifikační autorita (CA) vydává software certifikát, který potvrzuje, že software je legitimní a bezpečný pro použití.

Ještě lépe, váš operační systém se stará o certifikáty, kontrolu kódu a ověření, takže se nemusíte starat. Například Windows používá tzv. Řetěz certifikátů. Řetěz certifikátů sestává ze všech certifikátů potřebných k zajištění toho, aby byl software legitimní v každém kroku cesty.

“Řetěz certifikátů sestává ze všech certifikátů potřebných k certifikaci subjektu identifikovaného koncovým certifikátem. V praxi to zahrnuje koncový certifikát, certifikáty zprostředkujících CA a certifikát kořenového CA, kterému důvěřují všechny strany v řetězci. Každý zprostředkující CA v řetězci má v hierarchii důvěryhodnosti certifikát vydaný CA o jednu úroveň výše. Kořenový CA vydává certifikát pro sebe.”

Když systém funguje, můžete důvěřovat softwaru. CA a systém podepisování kódu vyžadují obrovské množství důvěry. Malware je ve svém důsledku škodlivý, nedůvěryhodný a neměl by mít přístup k certifikační autoritě ani k podpisu kódu. Naštěstí v praxi takto systém funguje.

Dokud vývojáři malware a hackeři nenajdou cestu, samozřejmě.

Hackeři ukradnou certifikáty certifikačním úřadům

Antivirus ví, že malware je škodlivý, protože má negativní dopad na váš systém. Spouští varování, uživatelé hlásí problémy a antivirus může vytvořit podpis malwaru, který chrání ostatní počítače pomocí stejného antivirového nástroje.

Pokud však vývojáři malwaru mohou podepsat svůj škodlivý kód pomocí oficiálního kryptografického podpisu, nic z toho se nestane. Místo toho bude kódově podepsaný malware procházet předními dveřmi, když váš antivirový program a operační systém zavedou červený koberec.

Výzkum Trend Micro zjistil, že existuje celý trh se malwarem, který podporuje vývoj a distribuci malwaru podepsaného v kódu. Operátoři malwaru získají přístup k platným certifikátům, které používají k podpisu škodlivého kódu. Následující tabulka ukazuje objem škodlivého softwaru používajícího podepisování kódu k obcházení antivirového softwaru, k dubnu 2018.

Výzkum Trend Micro zjistil, že přibližně 66 procent malwaru, ze kterého byl odebrán vzorek, bylo podepsáno kódem. Některé typy malwaru navíc přicházejí s více instancemi podepisování kódu, jako jsou trojské koně, kapátka a ransomware. (Zde je sedm způsobů, jak se vyhnout útoku ransomware. 7 způsobů, jak se vyhnout zásahu Ransomware 7 způsobů, jak se vyhnout zásahu pomocí Ransomware Ransomware může doslova zničit váš život. Děláte dost, abyste se vyhnuli ztrátě osobních údajů a fotografií na digitální vydírání?! )

Odkud pocházejí certifikáty pro podepisování kódu?

Distributoři a vývojáři malwaru mají dvě možnosti týkající se oficiálně podepsaného kódu. Certifikáty jsou buď odcizeny certifikační autoritou (přímo nebo za účelem dalšího prodeje), nebo se hacker může pokusit napodobit legitimní organizaci a splnit jejich požadavky.

Jak byste očekávali, certifikační autorita je vzrušujícím cílem každého hackera.

Nejde jen o hackery, kteří podporují nárůst malwaru podepsaného v kódu. Údajně bezohlední dodavatelé s přístupem k legitimním certifikátům prodávají důvěryhodné certifikáty pro podepisování kódu vývojářům a distributorům malwaru. Tým bezpečnostních vědců z Masarykovy univerzity v České republice a Maryland Cybersecurity Center (MCC) objevil čtyři organizace prodávající [PDF] Microsoft Authenticode certifikáty anonymním kupujícím.

“Nedávná měření ekosystému certifikátu pro podepisování kódů Windows zdůraznily různé formy zneužití, které umožňují autorům malwaru produkovat škodlivý kód nesoucí platné digitální podpisy.”

Jakmile má vývojář malwaru certifikát Microsoft Authenticode, může podepsat jakýkoli malware ve snaze vyloučit podepisování bezpečnostních kódů Windows a obranu založenou na certifikátech.

V jiných případech hacker spíše ukradne certifikáty, ale kompromituje server pro vytváření softwaru. Když se nová verze softwaru objeví na veřejnosti, má legitimní certifikát. Hacker však může do procesu také zahrnout svůj škodlivý kód. Níže si můžete přečíst nedávný příklad tohoto typu útoku.

3 Příklady malwaru podepsaného kódem

Jak tedy vypadá malware podepsaný kódem? Zde jsou tři příklady malwaru podepsané kódem:

  1. Stuxnet malware. Malware zodpovědný za zničení íránského jaderného programu použil k propagaci dva odcizené certifikáty a čtyři různé nulové exploity. Certifikáty byly odcizeny dvěma samostatnými společnostmi - JMicron a Realtek - které sdílely jednu budovu. Stuxnet použil odcizené certifikáty, aby se vyhnul tehdy nově zavedenému požadavku systému Windows, aby všechny ovladače vyžadovaly ověření (podepsání ovladače).
  2. Porušení serveru Asus. Někdy mezi červnem a listopadem 2018 hackeři porušili server Asus, který společnost používá, aby uživatelům nabízel aktualizace softwaru. Vědci společnosti Kaspersky Lab zjistili, že přibližně 500 000 počítačů se systémem Windows dostalo škodlivou aktualizaci dříve, než si někdo uvědomil. Hackeři místo krádeže certifikátů podepsali malware se legitimními digitálními certifikáty Asus, než softwarový server distribuoval aktualizaci systému. Naštěstí byl malware vysoce cílený a pevně zakódovaný pro vyhledávání 600 konkrétních strojů.
  3. Plamenný malware. Modulární varianta malwaru Flame se zaměřuje na země Blízkého východu a používá podvodně podepsané certifikáty, aby se zabránilo detekci. (Co je to modulární malware, každopádně Modulární malware: Nový tajný útok ukradl vaše data Modulární malware: nový tajný útok ukradl vaše data Malware je stále obtížnější detekovat. Co je to modulární malware a jak jej zastavíte tím, že způsobuje na vašem PC chaos ?) Vývojáři plamene využívali slabý kryptografický algoritmus k falešnému podepisování certifikátů pro podepisování kódu, takže se zdálo, jako by je Microsoft podepsal. Na rozdíl od Stuxnetu, který nesl destruktivní prvek, je Flame nástrojem špionáže, vyhledávání PDF, AutoCAD souborů, textových souborů a dalších důležitých typů průmyslových dokumentů.

Jak se vyhnout malwaru podepsanému kódem

Tři různé varianty malwaru, tři různé typy útoku na podepsání kódu. Dobrou zprávou je, že většina malwaru tohoto typu je, alespoň v současné době, vysoce cílená.

Druhou stránkou je, že kvůli úspěšnosti takových variant malwaru, které používají podepisování kódu, aby se zabránilo detekci, očekávají další vývojáři malwaru, že tuto techniku ​​použijí, aby se ujistili, že jejich vlastní útoky jsou úspěšné.

Stejně tak je ochrana před malwarem podepsaným kódem nesmírně obtížná. Udržování aktuálního stavu vašeho systému a antivirové sady je zásadní, vyhněte se kliknutí na neznámé odkazy a před následováním zkontrolujte, kam vás nějaký odkaz vede..

Kromě aktualizace antivirového programu si přečtěte náš seznam, jak se můžete vyhnout malwaru. Antivirový software nestačí: 5 věcí, které musíte udělat, abyste se vyhnuli malwaru Antivirový software není dostatek: 5 věcí, které musíte udělat, aby se zabránilo malwaru Zůstaňte v bezpečí a zabezpečeni online po instalaci antivirového softwaru podle následujících kroků pro bezpečnější práci s počítačem. !




Bisher hat noch niemand einen Kommentar zu diesem Artikel abgegeben.

5 způsobů, jak vyčistit nepořádek kabelů počítače pod stolem
DIY
Jak nastavit Raspberry Pi v Linuxu
DIY
Jak dálkově ovládat svůj domov pomocí Arduino, 5 DIY projektů
DIY
O moderní technologii, jednoduché a cenově dostupné.
Váš průvodce ve světě moderních technologií. Naučte se, jak používat technologie a pomůcky, které nás každý den obklopují, a naučte se, jak objevovat na internetu zajímavé věci.