Reklame

Kodesignering er praksis med kryptografisk signering af et stykke software, så operativsystemet og dets brugere kan kontrollere, at det er sikkert. Kodesignering fungerer stort set stort. Størstedelen af ​​tiden er det kun den korrekte software, der bruger dens tilsvarende kryptografiske signatur.

Brugere kan downloade og installere sikkert, og udviklere beskytter ry for deres produkt. Imidlertid bruger hackere og malware-distributører det nøjagtige system til at hjælpe ondsindet kode med at glide forbi antivirus suiter og andre sikkerhedsprogrammer.

Hvordan fungerer kodesigneret malware og ransomware?

Hvad er kodeunderskrevet malware?

Når software er kodesigneret, betyder det, at softwaren har en officiel kryptografisk signatur. En Certificate Authority (CA) udsteder softwaren med et certifikat, der bekræfter, at softwaren er legitim og sikker at bruge.

Bedre er, at dit operativsystem sørger for certifikater, kodekontrol og verifikation, så du behøver ikke at bekymre dig. For eksempel bruger Windows det, der kaldes

instagram viewer
en certifikatkæde. Certifikatkæden består af alle de certifikater, der er nødvendige for at sikre, at softwaren er legitim på hvert trin af vejen.

”En certifikatkæde består af alle de certifikater, der er nødvendige for at certificere emnet, der er identificeret med slutcertifikatet. I praksis inkluderer dette slutcertifikatet, certifikaterne for mellemliggende CA'er og certifikatet for en root CA, der er tillid til af alle parter i kæden. Hver mellemliggende CA i kæden har et certifikat udstedt af CA et niveau over det i tillidshierarkiet. Roden CA udsteder et certifikat for sig selv. ”

Når systemet fungerer, kan du stole på software. CA- og kodesigneringssystem kræver en enorm mængde tillid. I forlængelse heraf er malware ondsindet, upålideligt og bør ikke have adgang til en Certificate Authority eller kodesignering. Heldigvis er det i praksis sådan, hvordan systemet fungerer.

Indtil malware-udviklere og hackere selvfølgelig finder en vej rundt det.

Hackere stjæler certifikater fra certifikatautoriteter

Din antivirus ved, at malware er ondsindet, fordi det har en negativ effekt på dit system. Det udløser advarsler, brugere rapporterer problemer, og antivirus kan oprette en malware-signatur til at beskytte andre computere ved hjælp af det samme antivirusværktøj.

Hvis malware-udviklerne imidlertid kan underskrive deres ondsindede kode ved hjælp af en officiel kryptografisk signatur, sker der ikke noget af det. I stedet går den kodesignerede malware gennem hoveddøren, når din antivirus og operativsystemet ruller den røde løber ud.

Trend Micro-forskning fandt, at der er et helt malware-marked, der understøtter udvikling og distribution af kodesigneret malware. Malware-operatører får adgang til gyldige certifikater, som de bruger til at underskrive ondsindet kode. Følgende tabel viser mængden af ​​malware ved hjælp af kodesignering for at undgå antivirus fra april 2018.

trendmikrokodesigneret malware-type tabel

Trend Micro-undersøgelsen fandt, at omkring 66 procent af den indsamlede malware var kodesigneret. Desuden kommer visse malware-typer med flere forekomster af kodesignatur, såsom trojanske heste, droppers og ransomware. (Her er syv måder at undgå et ransomware-angreb på 7 måder at undgå at blive ramt af RansomwareRansomware kan bogstaveligt talt ødelægge dit liv. Gør du nok for at undgå at miste dine personlige data og fotos til digital afpresning? Læs mere !)

Hvor kommer kodesigneringscertifikater fra?

Distributører og udviklere af malware har to muligheder for officielt underskrevet kode. Certifikater er enten stjålet fra en Certificate Authority (direkte eller til videresalg), eller en hacker kan forsøge at efterligne en legitim organisation og falske deres krav.

Som du kunne forvente er en Certificate Authority et forfriskende mål for enhver hacker.

Det er ikke kun hackere, der fremmer stigningen i kodesigneret malware. Påståede skrupelløse leverandører med adgang til legitime certifikater sælger også betroede kodesigneringscertifikater til malware-udviklere og distributører. Et team af sikkerhedsforskere fra Masaryk University i Tjekkiet og Maryland Cybersecurity Center (MCC) opdagede fire organisationer, der sælger [PDF] Microsoft Authenticode-certifikater til anonyme købere.

"Seneste målinger af økosystemet til Windows-kodesignaturcertifikat har fremhævet forskellige former for misbrug, der giver malware-forfattere mulighed for at producere ondsindet kode, der bærer gyldige digitale signaturer."

Når en malware-udvikler har et Microsoft Authenticode-certifikat, kan de underskrive enhver malware i et forsøg på at ignorere Windows-sikkerhedskodesignering og certifikatbaseret forsvar.

I andre tilfælde snarere end at stjæle certifikaterne, vil en hacker gå på kompromis med en softwarebygger-server. Når en ny softwareversion frigives til offentligheden, har den et legitimt certifikat. Men en hacker kan også inkludere deres ondsindede kode i processen. Du kan læse om et nylagt eksempel på denne type angreb nedenfor.

3 Eksempler på kodeunderskrevet malware

Så hvad ser kodesigneret malware ud? Her er tre kodesignerede malware-eksempler:

  1. Stuxnet malware. Den malware, der var ansvarlig for at ødelægge det iranske nukleare program, anvendte to stjålne certifikater til at forplantes sammen med fire forskellige nul-dages udnyttelse. Certifikaterne blev stjålet fra to separate virksomheder - JMicron og Realtek - der delte en enkelt bygning. Stuxnet brugte de stjålne certifikater for at undgå det daværende nyligt indførte Windows-krav om, at alle drivere krævede verifikation (chaufførsignering).
  2. Asus-serverbrud. Engang mellem juni og november 2018 brød hackere en Asus-server, som virksomheden bruger til at skubbe softwareopdateringer til brugerne. Forskere ved Kaspersky Lab fandt det omkring 500.000 Windows-maskiner modtog den ondsindede opdatering, før nogen indså det. I stedet for at stjæle certifikaterne underskrev hackerne deres malware med legitime Asus digitale certifikater, før softwareserveren distribuerede systemopdateringen. Heldigvis var malware meget målrettet, hårdkodet for at søge efter 600 specifikke maskiner.
  3. Flame malware. Modulær malware-variant Flame er målrettet mod mellemøsten og bruger falske underskrevne certifikater for at undgå detektion. (Hvad er alligevel modulær malware Modulær malware: Det nye stealthy angreb, der stjæler dine dataMalware er blevet sværere at opdage. Hvad er modulær malware, og hvordan du stopper det med at ødelægge din pc? Læs mere ??? I modsætning til Stuxnet, der bar et destruktivt element, er Flame et værktøj til spionage, der søger PDF-filer, AutoCAD-filer, tekstfiler og andre vigtige industrielle dokumenttyper.

Sådan undgås kodesigneret malware

Tre forskellige malware-varianter, tre forskellige typer kodesigneringsangreb. Den gode nyhed er, at de fleste malware af denne type, i det mindste på nuværende tidspunkt, er meget målrettet.

Flipsiden er det på grund af succesraten for sådanne malware-varianter, der bruger kodesignering for at undgå påvisning, forventer, at flere malware-udviklere bruger teknikken for at sikre, at deres egne angreb er vellykket.

Ud over dette er det ekstremt vanskeligt at beskytte mod kodesigneret malware. Det er vigtigt at holde dit system og din antiviruspakke opdateret, undgå at klikke på ukendte links, og dobbeltkontrol, hvor ethvert link fører dig, før du følger det.

Bortset fra at opdatere din antivirus, se vores liste over hvordan du kan undgå malware Antivirus-software er ikke nok: 5 ting, du skal gøre for at undgå malwareForbliv sikkert og sikkert online efter installation af antivirus-software ved at følge disse trin for mere sikker computing. Læs mere !

Gavin er seniorforfatter for MUO. Han er også redaktør og SEO Manager for MakeUseOfs kryptofokuserede søsterside, Blocks Decoded. Han har en BA (Hons) samtidsskrivning med digital kunstpraksis, der er pilleret ud fra bjergene i Devon, samt over et årti med professionel skriftlig erfaring. Han nyder rigelige mængder te.