Kaj je zlonamerna programska oprema s podpisom in kako se ji izogniti?

Oglas

Podpisovanje kode je praksa kriptografskega podpisa dela programske opreme, tako da lahko operacijski sistem in njegovi uporabniki preverijo, ali je varen. Podpisovanje kode deluje na splošno dobro. Večino časa le pravilna programska oprema uporablja svoj ustrezen kriptografski podpis.

Uporabniki lahko varno prenesejo in namestijo, razvijalci pa zaščitijo ugled svojega izdelka. Kljub temu hekerji in distributerji zlonamerne programske opreme uporabljajo ta sistem, da zlonamerni kodi pomagajo, da zdrsnejo mimo antivirusnih paketov in drugih varnostnih programov.

Kako deluje zlonamerna programska oprema, ki je podpisana s kodo in deluje?

Kaj je zlonamerna programska oprema?

Kadar je programska oprema podpisana s kodo, to pomeni, da ima programska oprema uradni kriptografski podpis. Certificate Authority (CA) izda programski opremi s potrdilom, ki potrjuje, da je programska oprema zakonita in varna za uporabo.

Še bolje, vaš operacijski sistem skrbi za potrdila, preverjanje kode in preverjanje, tako da vam ni treba skrbeti. Na primer, Windows uporablja tisto, kar je znano kot

verigo potrdil. Veriga potrdil je sestavljena iz vseh potrdil, potrebnih za zagotovitev, da je programska oprema zakonita na vsakem koraku.

„Veriga certifikatov je sestavljena iz vseh potrdil, potrebnih za potrjevanje predmeta, ki ga določa končni certifikat. V praksi to vključuje končni certifikat, potrdila vmesnih CA in potrdilo korenskega CA, ki mu zaupajo vse strani v verigi. Vsak vmesni CA v verigi ima certifikat, ki ga je izdal CA eno stopnjo nad njim v hierarhiji zaupanja. Root CA izda potrdilo zase. "

Ko sistem deluje, lahko zaupate programski opremi. Sistem CA in kode za podpisovanje kode zahtevata veliko zaupanja. Zlonamerna programska oprema je zlonamerna, nezanesljiva in ne bi smela imeti dostopa do organa za potrdila ali podpisovanja kode. K sreči v praksi tako deluje sistem.

Dokler seveda razvijalci zlonamerne programske opreme in hekerji ne najdejo poti.

Hekerji ukradejo potrdila pri pooblaščenih organih

Vaš protivirusni program ve, da je zlonamerna programska oprema škodljiva, ker negativno vpliva na vaš sistem. Sproži opozorila, uporabniki poročajo o težavah in antivirus lahko ustvari podpis zlonamerne programske opreme za zaščito drugih računalnikov z istim protivirusnim orodjem.

Če pa razvijalci zlonamerne programske opreme lahko zlonamerno kodo podpišejo z uradnim kriptografskim podpisom, se to ne bo zgodilo. Namesto tega se bo zlonamerna programska oprema s kodo podpisala skozi vhodna vrata, ko bo vaš protivirusni sistem in operacijski sistem potegnil rdečo preprogo.

Trend Micro raziskave ugotovili, da obstaja celoten trg zlonamerne programske opreme, ki podpira razvoj in distribucijo zlonamerne programske opreme s podpisom. Operaterji zlonamerne programske opreme dobijo dostop do veljavnih potrdil, ki jih uporabljajo za podpisovanje zlonamerne kode. Naslednja tabela prikazuje količino zlonamerne programske opreme z uporabo podpisovanja kode za izogibanje antivirusu od aprila 2018.

Raziskava Trend Micro je pokazala, da je bilo približno 66 odstotkov vzorčene zlonamerne programske opreme podpisano s kodo. Poleg tega nekatere vrste zlonamerne programske opreme vsebujejo več primerov za podpisovanje kode, na primer Trojani, kapalke in odkupne programske opreme. (Tukaj so sedem načinov, kako se izogniti napadu z odkupi 7 načinov, kako se izogniti napadu Ransomware-aRansomware vam lahko dobesedno uniči življenje. Ali delate dovolj, da ne izgubite svojih osebnih podatkov in fotografij zaradi digitalnega izsiljevanja? Preberi več !)

Od kod prihajajo potrdila o podpisu kode?

Distributerji in razvijalci zlonamerne programske opreme imajo na voljo dve možnosti glede uradno podpisane kode. Potrdila so ukradena pri organu za potrdila (neposredno ali za nadaljnjo prodajo) ali pa heker lahko poskuša oponašati zakonito organizacijo in ponarediti njihove zahteve.

Kot bi pričakovali, je certifikacijski organ izmučen cilj za vsakega hekerja.

Ne samo, da hekerji spodbujajo porast zlonamerne programske opreme s podpisom. Domnevno brezobzirni prodajalci z dostopom do zakonitih potrdil prodajajo zaupanja vredna potrdila za podpisovanje kode tudi razvijalcem in distributerjem zlonamerne programske opreme. Skupina raziskovalcev na področju varnosti z Univerze Masaryk na Češkem in centra za kibernetsko varnost Maryland (MCC) odkrili štiri organizacije, ki prodajajo [PDF] Potrdila Microsoft Authenticode anonimnim kupcem.

"Zadnje meritve ekosistema potrdila o podpisu kode Windows so izpostavile različne oblike zlorab, ki avtorjem zlonamerne programske opreme omogočajo ustvarjanje zlonamerne kode z veljavnimi digitalnimi podpisi."

Ko ima razvijalec zlonamerne programske opreme potrdilo Microsoft Authenticode, lahko podpiše katero koli zlonamerno programsko opremo v poskusu, da izniči varnostno podpisovanje varnostne kode Windows in obrambo na podlagi potrdil.

V drugih primerih bo heker ogrožal strežnik za gradnjo programske opreme, namesto da bi ukradel potrdila. Ko se nova različica programske opreme sprosti v javnost, ima legitimno potrdilo. Toda heker lahko v postopek vključi tudi njihovo zlonamerno kodo. O nedavnem primeru tovrstnega napada lahko preberete spodaj.

3 primeri zlonamerne programske opreme s podpisom

Kako izgleda zlonamerna programska oprema s šifro? Tu so trije primeri zlonamerne programske opreme, podpisani s kodo:

1. Zlonamerna programska oprema Stuxnet. Zlonamerna programska oprema, odgovorna za uničenje iranskega jedrskega programa, je za razmnoževanje uporabila dva ukradena potrdila, skupaj s štirimi različnimi podvigi, ki so bili brez vsakega dne. Certifikati so bili ukradeni v dveh ločenih podjetjih - JMicron in Realtek -, ki sta si delili eno stavbo. Stuxnet je ukradel potrdila, da bi se izognil takrat novo uvedeni zahtevi sistema Windows, da so vsi vozniki zahtevali preverjanje (podpis gonilnika).
2. Kršitev strežnika Asus. Nekaj ​​med junijem in novembrom 2018 so hekerji prekršili Asusov strežnik, ki ga podjetje uporablja za potisk posodobitev programske opreme do uporabnikov. Raziskovalci v laboratoriju Kaspersky ugotovil, da naokoli 500.000 Windows strojev je prejelo zlonamerno posodobitev, še preden je kdo spoznal. Namesto da bi ukradli certifikate, so hekerji svojo zlonamerno programsko opremo podpisali z zakonitimi digitalnimi certifikati Asus, preden je strežnik programske opreme distribuiral posodobitev sistema. Na srečo je bila zlonamerna programska oprema zelo ciljno usmerjena in trdo kodirana za iskanje 600 specifičnih strojev.
3. Plamenska zlonamerna programska oprema. Modularna varianta zlonamerne programske opreme Flame cilja na države Bližnjega vzhoda in s pomočjo lažno podpisanih potrdil prepreči odkrivanje. (Kaj vseeno je modularna zlonamerna programska oprema Modularna zlonamerna programska oprema: nov neupravičen napad ukrade vaše podatkeZlonamerno programsko opremo je postalo težje zaznati. Kaj je modularna zlonamerna programska oprema in kako prenehate pustovati v računalniku? Preberi več ?) Razvijalci Plamena so izkoristili šibek kriptografski algoritem, da so lažno podpisali potrdila za podpisovanje kode, zaradi česar je videti, kot da jih je Microsoft odpisal. Za razliko od Stuxneta, ki je nosil uničevalni element, je Flame orodje za vohunjenje, iskanje dokumentov PDF, datotek AutoCAD, besedilnih datotek in drugih pomembnih industrijskih dokumentov.

Kako se izogniti zlonamerni programski opremi z znaki

Tri različne različice zlonamerne programske opreme, trije različni napadi podpisovanja kode. Dobra novica je, da je večina tovrstne zlonamerne programske opreme, vsaj v tem trenutku, zelo ciljno usmerjena.

Splošno gledano je, da je stopnja uspešnosti takšnih različic zlonamerne programske opreme, da se izognemo podpisovanju kode odkrivanje, pričakujte, da bo več razvijalcev zlonamerne programske opreme uporabljalo tehniko in se prepričalo o njihovih napadih uspešno.

Poleg tega je zaščita pred zlonamerno programsko opremo, ki je podpisana s kodo, izredno težavna. Posodobitev sistema in protivirusnega nabora je nujna, izogibajte se neznanim povezavam in dvakrat preverite, kje vas vodi, preden jo sledite.

Razen posodabljanja vašega protivirusnega programa, preverite tudi naš seznam kako se lahko izognete zlonamerni programski opremi Protivirusne programske opreme ni dovolj: 5 stvari, ki jih morate storiti, da se izognete zlonamerni programski opremiPo namestitvi protivirusne programske opreme bodite varni in varni na spletu, tako da sledite tem korakom za varnejše računalništvo. Preberi več !