Yhden luukun väärennetyt todistuskaupat kaikille haittaohjelmien allekirjoittamistarpeesi

Kaspersky Labin verkkoa tartunnan saaneiden haittaohjelmien käyttämä digitaalinen allekirjoitus vuonna 2014. Väärennetyt varmenteet, jotka tuottavat tällaisia ​​vilpillisiä allekirjoituksia, myydään verkossa käytettäväksi muissa haittaohjelmissa.Verkon saastuttaman haittaohjelman käyttämä digitaalinen allekirjoitus Kaspersky Lab vuonna 2014. Väärennetyt sertifikaatit, jotka tuottavat sellaisia vilpillisiä allekirjoituksia myydään verkossa käytettäväksi muissa haittaohjelmat.Kaspersky Lab

Stuxnet-mato, joka kohdisti Iranin ydinohjelman, melkein a vuosikymmen sitten oli vesivatsainen kappale haittaohjelmia monille syyt. Tärkein heistä, se käyttää salausvarmenteita kuuluminen laillisiin yrityksiin väärin vakuuttamaan haittaohjelmien luotettavuus. Viime vuonna opimme sen petollisesti allekirjoitetut haittaohjelmat olivat aiemmin laajemmin levinneitä uskoi. Torstaina tutkijat paljastivat yhden mahdollisen syyn: maanalaiset palvelut, jotka ovat vuodesta 2011 myyneet väärentämiä allekirjoituksia kullekin ostajalle yksilölliset käyttöoikeustiedot.

Lisälukema

Stuxnet-tyylisen koodin allekirjoittaminen on laajempaa kuin kukaan ajatteli monissa tapauksissa sertifikaatit vaaditaan ohjelmiston asentamiseen Windows- ja macOS-tietokoneet, kun taas toisissa ne estävät käyttöjärjestelmiä varoitusten näyttämisestä, että ohjelmisto tulee luotettamattomalta kehittäjä. Sertifikaatit lisäävät myös mahdollisuuksia virustorjuntaohjelmat eivät merkitse aiemmin näkymättömiä tiedostoja haitallisiksi. Uhkailutiedon tarjoajan Recorded tulevaisuus julkaisema raportti kertoi, että viime vuodesta alkaen tutkijoiden lukumäärä kasvoi äkillisesti selaimen myöntämät ja käyttämät vilpilliset varmenteet järjestelmän luottamat tarjoajat, joita käytettiin haittaohjelmien allekirjoittamiseen tavarat. Piikki ajoi Recorded Future-tutkijoita tutkimaan syy. Se mitä he löysivät oli yllättävää.

“Vastoin yleistä uskoa, että turvallisuustodistukset rikollisessa metrolla liikkuvat varastavat lailliset Vahvistimme omistajat ennen kuin heidät käytettiin epämääräisissä kampanjoissa varmuudella sertifikaattien luomisesta vain tietylle ostajalle pyyntöä kohden, ja ne rekisteröidään varastettu yritysidentiteetti, mikä tekee perinteisestä verkkoturvasta laitteet vähemmän tehokkaita “, Andrei Barysevich, tutkija Äänitetty tulevaisuus, raportoitu.

Barysevich tunnisti neljä tällaista väärennösmyyjää sertifikaatit vuodesta 2011. Kaksi niistä jatkaa liiketoimintaansa tänään. myyjät tarjosivat erilaisia ​​vaihtoehtoja. Vuonna 2014 yksi palveluntarjoaja soittaa itse C @ T mainosti varmenteita, jotka käyttivät Microsoftia tekniikka, joka tunnetaan nimellä Authenticode suoritettavien tiedostojen allekirjoittamiseen ja ohjelmointiohjelmat, jotka voivat asentaa ohjelmiston. C @ T tarjotaan koodin allekirjoitusvarmenteet myös MacOS-sovelluksille. Hänen palkkansa: ylöspäin 1000 dollaria todistusta kohden.

“Mainoksessaan C @ T selitti, että todistukset ovat rekisteröity laillisissa yrityksissä ja myöntänyt Comodo, Thawte ja Symantec – suurimmat ja arvostetuimmat liikkeeseenlaskijat “. Torstai raportti sanoi. “Myyjä ilmoitti, että jokainen sertifikaatti on ainutlaatuinen, ja se osoitetaan vain yhdelle ostajalle, joka voisi olla helposti todennettavissa HerdProtect.com-sivustolla. C @ T: n mukaan Allekirjoitettujen tiedostojen hyötykuorma-asennusten onnistumisaste kasvaa 30-50 prosentilla, ja hän jopa myönsi myyvänsä yli 60 todistukset alle kuudessa kuukaudessa. ”

C @ T: n liiketoiminta heikentyi tulevina vuosina muina palveluntarjoajina alitti hinnat. Yksi kilpaileva palvelu tarjosi paljaan luun koodin allekirjoitussertifikaatti 299 dollaria. 1 599 dollarilla palvelu myi allekirjoittamalla varmenne laajennetulla validoinnilla – tarkoittaen, että se on annettu yritykselle tai yritykselle, jonka liikkeeseenlaskija. Tämä korkea hinta takasi myös todistuksen läpäisemisen SmartScreen-validointi tarkistaa useiden Microsoftin ohjelmistojen suorittaa suojata käyttäjiä haitallisilta sovelluksilta. Paketti täysin todennetut Internet-verkkotunnukset EV SSL -salauksella ja -koodilla allekirjoitusominaisuuksia voitiin myös ostaa 1 799 dollarilla. Sama palvelu myi verkkosivuille laajennettuja validointi TLS-varmenteita alkaen 349 dollaria. Erilainen C @ T-kilpailija myi erittäin tarkastetut tuotteet Luokan 3 sertifikaatit 600 dollaria.

EnlargeRecorded Future

“Molempien myyjien toimittamien tietojen mukaan – yksityinen keskustelu, jotta voidaan taata Tuotteet, kaikki sertifikaatit rekisteröidään todellisia yrityksiä, “Barysevich kirjoitti.” korkealla tasolla Uskomme, että lailliset yritysomistajat ovat tietämättä, että heidän tietojaan käytettiin laittomaan toimintaan. se on Tärkeää huomata, että kaikki sertifikaatit luodaan jokaiselle ostajalle erikseen keskimääräisen toimitusajan ollessa kahdesta neljään päivää.”

Käytä laillisia allekirjoitusvarmenteita haitallisten sovellusten tarkistamiseen ja lailliset TLS-varmenteet verkkotunnusten todentamiseksi levitä näitä sovelluksia voi vähentää tietosuojaa tehokkaita. Tulevat tutkijat toimittivat yhdelle myyjälle ilmoittamaton etäkäyttöön tarkoitettu troijalainen ja vakuuttanut myyjän allekirjoittamaan se todistuksella, jonka Comodo oli äskettäin myöntänyt. Vain kahdeksan parhaista AV – palveluntarjoajista havaitsi salatun version troijalainen. Vain kaksi AV-moottoria havaitsi saman salatun tiedoston sen allekirjoitti Comodo-sertifikaatti.

“Huolestuttavampia tuloksia esiintyi saman testin jälkeen suoritettu hyötykuorman ulkomaiselle versiolle “Barysevich raportoitu. “Tässä tapauksessa vain kuusi yritystä kykeni tunnistaa salatun version ja vain Endgame-suojauksen tunnisti tiedoston haitallisena. ”

Torstai-raportti osoittaa, kuinka helppoa on ohittaa monet koodin allekirjoitusvaatimusten tarjoamat suojaukset, Barysevich totesi, että väärennettyjä varmenteita käytetään todennäköisesti vain niche-kampanjat, jotka kohdistuvat pieneen joukkoon ihmisiä tai organisaatioille.

“Vaikka koodin allekirjoitusvarmenteita voidaan käyttää tehokkaasti laajalle levinneet haittaohjelmakampanjat, kuten pankkitoiminnan jakelu troijalainen tai ransomware, allekirjoittamiseen käytetyn sertifikaatin voimassaoloaika hyötykuorma mitätöidään melko nopeasti “, hän selitti. “Siksi uskomme, että virrankäyttäjiä on rajoitetusti erikoistunut monimutkaisempiin ja kohdennettuihin kampanjoihin, kuten yritysvakoilu on uuden moottorin päävoima palvelua.”

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: