Kodesignert malware er en ny trussel for databrukere.  Hvordan kan du beskytte din PC og data fra kodesignert skadelig programvare?

Hva er kode-signert skadelig programvare, og hvordan unngår du det?

Annonse Kodesignering er praksisen med kryptografisk signering av et programvare slik at operativsystemet og dets brukere kan bekrefte at det er trygt. Kodesignering fungerer stort sett godt. Det meste av tiden er det bare riktig programvare som bruker den tilhørende kryptografiske signaturen. Brukere kan laste ned og installere trygt, og utviklere beskytter omdømmet til produktet sitt.

Annonse

Kodesignering er praksisen med kryptografisk signering av et programvare slik at operativsystemet og dets brukere kan bekrefte at det er trygt. Kodesignering fungerer stort sett godt. Det meste av tiden er det bare riktig programvare som bruker den tilhørende kryptografiske signaturen.

Brukere kan laste ned og installere trygt, og utviklere beskytter omdømmet til produktet sitt. Imidlertid bruker hackere og malware-distributører det eksakte systemet for å hjelpe ondsinnet kode med å skli forbi antivirus-suiter og andre sikkerhetsprogrammer.

Hvordan fungerer kodesignert malware og ransomware?

Hva er programvare som er signert med kode?

Når programvare er kodesignert, betyr det at programvaren har en offisiell kryptografisk signatur. A Certificate Authority (CA) utsteder programvaren med et sertifikat som bekrefter at programvaren er legitim og trygg å bruke.

Bedre er at operativsystemet tar vare på sertifikatene, kodesjekken og bekreftelsen, slik at du ikke trenger å bekymre deg. For eksempel bruker Windows det som kalles en sertifikatkjede. Sertifikatkjeden består av alle sertifikatene som trengs for å sikre at programvaren er legitim på hvert trinn.

“En sertifikatkjede består av alle sertifikater som er nødvendige for å sertifisere emnet identifisert av sluttbeviset. I praksis inkluderer dette sluttsertifikatet, sertifikatene til mellomliggende CAer og sertifikatet til en rot CA som er klarert av alle parter i kjeden. Hver mellomliggende CA i kjeden har et sertifikat utstedt av CA ett nivå over det i tillitshierarkiet. Roten CA utsteder et sertifikat for seg selv. "

Når systemet fungerer, kan du stole på programvare. CA og kodesigneringssystem krever enorm tillit. I forlengelsen av dette er malware skadelig, upålitelig og bør ikke ha tilgang til et sertifikatutstyr eller kodesignering. Heldigvis er det i praksis slik systemet fungerer.

Inntil malware-utviklere og hackere finner en vei rundt det, selvfølgelig.

Hackere stjeler sertifikater fra sertifikatmyndigheter

Antiviruset ditt vet at skadelig programvare er skadelig fordi det har en negativ effekt på systemet ditt. Det utløser advarsler, brukere rapporterer om problemer, og antiviruset kan lage en malware-signatur for å beskytte andre datamaskiner ved hjelp av det samme antivirusverktøyet.

Hvis malware-utviklerne kan signere sin ondsinnede kode ved å bruke en offisiell kryptografisk signatur, vil ingenting av det skje. I stedet vil den kodesignerte skadelige programvaren gå gjennom inngangsdøren mens antiviruset ditt og operativsystemet ruller ut den røde løperen.

Trend Micro-undersøkelse fant at det er et helt marked for skadelig programvare som støtter utvikling og distribusjon av kodesignert malware. Malware-operatører får tilgang til gyldige sertifikater som de bruker for å signere ondsinnet kode. Tabellen nedenfor viser volumet av skadelig programvare som bruker kodesignering for å unndra seg antivirus, fra og med april 2018.

trendmikrokodesignert tabell for malware

Trend Micro-forskningen fant at rundt 66 prosent av skadelig programvare som ble samplet var kodesignert. Videre har visse malware-typer flere forekomster av kodesignering, for eksempel trojanere, droppers og ransomware. (Her er syv måter å unngå et ransomware-angrep 7 måter å unngå å bli rammet av Ransomware 7 måter å unngå å bli rammet av Ransomware Ransomware kan bokstavelig talt ødelegge livet ditt. Gjør du nok for å unngå å miste dine personlige data og bilder til digital utpressing? Mer !)

Hvor kommer kodesigneringssertifikater fra?

Distributører og utviklere av skadelig programvare har to alternativer når det gjelder offisielt signert kode. Sertifikater blir enten stjålet fra en Certificate Authority (direkte eller for videresalg), eller en hacker kan forsøke å etterligne en legitim organisasjon og falske kravene deres.

Som du forventer er et Certificate Authority et fristende mål for enhver hacker.

Det er ikke bare hackere som øker økningen i kodesignert skadelig programvare. Påståtte skruppelløse leverandører med tilgang til legitime sertifikater selger pålitelige kodesigneringssertifikater også til malware-utviklere og distributører. Et team av sikkerhetsforskere fra Masaryk University i Tsjekkia og Maryland Cybersecurity Center (MCC) oppdaget fire organisasjoner som solgte [PDF] Microsoft Authenticode-sertifikater til anonyme kjøpere.

"Nyere målinger av økosystemet for kodesigneringssertifikat i Windows har fremhevet forskjellige former for misbruk som lar malware-forfattere produsere ondsinnet kode som har gyldige digitale signaturer."

Når en malware-utvikler har et Microsoft Authenticode-sertifikat, kan de signere all skadelig programvare i et forsøk på å negere Windows-sikkerhetskodesignering og sertifikatbasert forsvar.

I andre tilfeller, i stedet for å stjele sertifikatene, vil en hacker kompromittere en programvarebyggingsserver. Når en ny programvareversjon slippes til publikum, har den et legitimt sertifikat. Men en hacker kan også inkludere deres ondsinnede kode i prosessen. Du kan lese om et nylig eksempel på denne typen angrep nedenfor.

3 Eksempler på kodet signert skadelig programvare

Så hvordan ser kodesignert malware ut? Her er tre kodesignerte malwareeksempler:

  1. Stuxnet malware . Den skadelige programvaren som var ansvarlig for å ødelegge det iranske atomprogrammet, brukte to stjålne sertifikater for å forplante seg, sammen med fire forskjellige utnyttelser på null dager. Sertifikatene ble stjålet fra to separate selskaper - JMicron og Realtek - som delte en enkelt bygning. Stuxnet brukte de stjålne sertifikatene for å unngå det da nylig introduserte Windows-kravet om at alle drivere måtte verifisere (signering av sjåfør).
  2. Asus-serverbrudd . En gang mellom juni og november 2018 brøt hackere en Asus-server selskapet bruker for å presse programvareoppdateringer til brukere. Forskere ved Kaspersky Lab fant ut at rundt 500 000 Windows-maskiner mottok den ondsinnede oppdateringen før noen skjønte det. I stedet for å stjele sertifikatene, signerte hackerne malware med legitime Asus digitale sertifikater før programvareserveren distribuerte systemoppdateringen. Heldigvis var skadelig programvare målrettet og hardkodet for å søke etter 600 spesifikke maskiner.
  3. Flame malware . Modulær malwarevariant av flammen er målrettet mot land i Midt-Østen, og bruker falske signerte sertifikater for å unngå oppdagelse. (Hva er modulær skadelig programvare, uansett Modular Malware: The New Stealthy Attack Steling Your Data Modular Malware: The New Stealthy Attack Steling Your Data Malware er blitt vanskeligere å oppdage. Hva er modulær malware, og hvordan du stopper det med å ødelegge din PC ? Les mer?) Flame-utviklerne utnyttet en svak kryptografisk algoritme for å feilaktig signere kodesigneringssertifikatene, slik at det ser ut som om Microsoft hadde signert dem. I motsetning til Stuxnet som bar et ødeleggende element, er Flame et verktøy for spionasje, og oppsøker PDF-er, AutoCAD-filer, tekstfiler og andre viktige industridokumenttyper.

Hvordan unngå kodesignet skadelig programvare

Tre forskjellige malware-varianter, tre forskjellige typer kodesigneringsangrep. Den gode nyheten er at mest skadelig programvare av denne typen, i det minste på det nåværende tidspunkt, er veldig målrettet.

Vendingen er at på grunn av suksessraten for slike malware-varianter som bruker kodesignering for å unngå oppdagelse, kan du forvente at flere malware-utviklere bruker teknikken for å sikre at deres egne angrep er vellykket.

I tillegg til dette er det ekstremt vanskelig å beskytte mot kodesignert malware. Det er viktig å holde systemet og antivirusprogrammet oppdatert. Unngå å klikke på ukjente koblinger, og dobbeltsjekke hvor en hvilken som helst lenke tar deg før du følger den.

Annet enn å oppdatere antivirusprogrammet ditt, kan du sjekke listen over hvordan du kan unngå skadelig programvare. Antivirusprogramvare er ikke nok: 5 ting du må gjøre for å unngå skadelig programvare. Antivirusprogramvare er ikke nok: 5 ting du må gjøre for å unngå skadelig programvare. Hold deg trygg og sikker online etter å ha installert antivirusprogramvare ved å følge disse trinnene for tryggere databehandling. Les mer !

Utforsk mer om: Malware, Online Security, Security Certificate.