Vad är kodskylt skadligt program och hur undviker du det?
Annons
Kodsignering är praxis att kryptografiskt signera en mjukvara så att operativsystemet och dess användare kan verifiera att det är säkert. Kodsignering fungerar i stort sett bra. Merparten av tiden är det bara rätt programvara som använder motsvarande kryptografiska signatur.
Användare kan ladda ner och installera på ett säkert sätt, och utvecklare skyddar deras produkts rykte. Emellertid använder hackare och distributörer av skadlig programvara det exakta systemet för att hjälpa skadlig kod glida förbi antivirussviter och andra säkerhetsprogram.
Hur fungerar kodsignerad skadlig programvara och ransomware?
Vad är kodskylt skadlig programvara?
När programvara är kodsignerad betyder det att programvaran har en officiell kryptografisk signatur. En certifikatutfärdare (CA) utfärdar programvaran med ett certifikat som bekräftar att programvaran är legitim och säker att använda.
Ännu bättre är att ditt operativsystem tar hand om certifikaten, kodkontrollen och verifieringen, så att du inte behöver oroa dig. Till exempel använder Windows det som kallas en certifikatkedja. Certifikatkedjan består av alla certifikat som krävs för att säkerställa att programvaran är legitim i varje steg på vägen.
”En certifikatkedja består av alla certifikat som krävs för att certifiera ämnet som identifieras av slutcertifikatet. I praktiken inkluderar detta slutcertifikatet, certifikaten för mellanliggande CA och certifikatet för en root CA som är betrodd av alla parter i kedjan. Varje mellanliggande CA i kedjan har ett certifikat som utfärdats av CA en nivå ovanför det i förtroendeshierarkin. Rot CA utfärdar ett certifikat för sig själv. "
När systemet fungerar kan du lita på programvara. CA- och kodsigneringssystemet kräver enormt mycket förtroende. I förlängningen är skadlig programvara skadlig, opålitlig och bör inte ha tillgång till en certifikatutfärdare eller kodsignering. Tack och lov i praktiken är det så systemet fungerar.
Tills skadliga utvecklare och hackare hittar en väg runt det, naturligtvis.
Hackare stjäl certifikat från certifikatutfärdare
Ditt antivirusprogram vet att skadlig programvara är skadlig eftersom det har en negativ inverkan på ditt system. Det utlöser varningar, användare rapporterar problem och antiviruset kan skapa en malware-signatur för att skydda andra datorer med samma antivirusverktyg.
Men om skadliga utvecklare kan underteckna sin skadliga kod med en officiell kryptografisk signatur kommer inget av det att hända. Istället kommer den kodsignerade skadliga programmen att gå genom ytterdörren när ditt antivirusprogram och operativsystemet rullar ut den röda mattan.
Trend Micro-forskningen fann att det finns en hel marknad för skadlig programvara som stödjer utvecklingen och distributionen av kodsignerad skadlig programvara. Malwareoperatörer får tillgång till giltiga certifikat som de använder för att underteckna skadlig kod. Följande tabell visar volymen skadlig programvara som använder kodsignering för att undvika antivirus från och med april 2018.
Trend Micro-forskningen fann att cirka 66 procent av skadlig programvara som togs in var kodsignerad. Dessutom kommer vissa skadliga programtyper med fler koden att underteckna, till exempel trojaner, droppar och ransomware. (Här är sju sätt att undvika en ransomware-attack. 7 sätt att undvika att drabbas av Ransomware. 7 sätt att undvika att drabbas av Ransomware. Ransomware kan bokstavligen förstöra ditt liv. Gör du nog för att undvika att förlora dina personliga data och foton till digital utpressning? Mer !)
Var kommer kodsigneringscertifikat ifrån?
Distributörer och utvecklare av skadlig programvara har två alternativ när det gäller officiellt signerad kod. Certifikat är antingen stulna från en certifikatutfärdare (direkt eller för återförsäljning), eller så kan en hacker försöka efterlikna en legitim organisation och förfalska deras krav.
Som du kan förvänta dig är en certifikatutfärdare ett lockande mål för alla hackare.
Det är inte bara hackare som driver ökningen av kodsignerad skadlig programvara. Påstås skrupelfria leverantörer med tillgång till legitima certifikat säljer betrodda kodsigneringscertifikat till malware-utvecklare och distributörer. Ett team av säkerhetsforskare från Masaryk University i Tjeckien och Maryland Cybersecurity Center (MCC) upptäckte fyra organisationer som säljer [PDF] Microsoft Authenticode-certifikat till anonyma köpare.
"Nya mätningar av ekosystemet för Windows-kodsigneringscertifikat har lyfts fram olika former av missbruk som gör att författare till skadlig kod kan producera skadlig kod som har giltiga digitala signaturer."
När en skadlig programutvecklare har ett Microsoft Authenticode-certifikat kan de underteckna valfri skadlig programvara i ett försök att förneka Windows-säkerhetskodssignering och certifikatbaserat försvar.
I andra fall, snarare än att stjäla certifikaten, kommer en hackare att äventyra en mjukvarubyggnadsserver. När en ny programvaruversion släpps för allmänheten har den ett legitimt certifikat. Men en hacker kan också inkludera deras skadliga kod i processen. Du kan läsa om ett nyligen exempel på denna typ av attack nedan.
3 Exempel på kodsignerad skadlig programvara
Så hur ser kodsignerad skadlig programvara ut? Här är tre kodsignerade exempel på skadlig programvara:
- Stuxnet skadlig programvara . Den skadliga programvaran som var ansvarig för att förstöra det iranska kärnkraftsprogrammet använde två stulna certifikat för att sprida, tillsammans med fyra olika nolldagars exploater. Certifikaten stulits från två separata företag - JMicron och Realtek - som delade en enda byggnad. Stuxnet använde de stulna certifikaten för att undvika det då nyinförda Windows-kravet att alla drivrutiner krävde verifiering (förarsignering).
- Asus-serverbrott . Någon gång mellan juni och november 2018 bröt hackare en Asus-server som företaget använder för att driva programuppdateringar till användare. Forskare vid Kaspersky Lab fann att cirka 500 000 Windows-maskiner fick den skadliga uppdateringen innan någon insåg. Istället för att stjäla certifikaten undertecknade hackarna sin skadliga program med legitima Asus digitala certifikat innan mjukvaranservern distribuerade systemuppdateringen. Lyckligtvis var skadlig programvara riktad och hårdkodad för att söka efter 600 specifika maskiner.
- Flame malware . Modulär skadlig programvariant Flame riktar sig till länder i Mellanöstern och använder bedrägligt signerade certifikat för att undvika upptäckt (Vad är modulär skadlig programvara, ändå Modular Malware: The New Stealthy Attack Steling Your Data Modular Malware: The New Stealthy Attack Steling Your Data Malware har blivit svårare att upptäcka. Vad är modulär skadlig programvara och hur du stoppar det att göra kaos på din PC ? Läs mer?) Flame-utvecklarna utnyttjade en svag kryptografisk algoritm för att felaktigt underteckna kodsigneringscertifikaten, vilket gjorde att det verkar som om Microsoft hade skrivit av dem. Till skillnad från Stuxnet som bar ett destruktivt element, är Flame ett verktyg för spionage, söka efter PDF-filer, AutoCAD-filer, textfiler och andra viktiga industridokumenttyper.
Hur man undviker kodsignerad skadlig programvara
Tre olika skadliga varianter, tre olika typer av kodsigneringsattacker. Den goda nyheten är att de flesta skadliga program av denna typ är, åtminstone just nu, mycket riktade.
Vändningen är att på grund av framgången för sådana skadliga varianter som använder kodsignering för att undvika upptäckt, förväntar sig att fler skadliga programutvecklare använder tekniken för att se till att deras egna attacker är framgångsrika.
Förutom detta är det extremt svårt att skydda mot kodsignerad skadlig programvara. Att hålla ditt system och ditt antivirusprogram uppdaterat är viktigt, undvik att klicka på okända länkar och dubbelkontrollera var någon länk tar dig innan du följer den.
Annat än att uppdatera ditt antivirus, kolla vår lista över hur du kan undvika skadlig programvara Antivirusprogram är inte tillräckligt: 5 saker du måste göra för att undvika skadlig programvara Antivirusprogram är inte tillräckligt: 5 saker du måste göra för att undvika skadlig programvara Håll dig säker och säker online efter att ha installerat antivirusprogramvara genom att följa dessa steg för säkrare datoranvändning. Läs mer !
Utforska mer om: Malware, Online Security, Security Certificate.