Wzrost liczby malware z prawidłowym zaufanym certyfikatem - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html) +--- Dział: Inne (https://safegroup.pl/forum-15.html) +--- Wątek: Wzrost liczby malware z prawidłowym zaufanym certyfikatem (/thread-11881.html) |
Wzrost liczby malware z prawidłowym zaufanym certyfikatem - ichito - 23.05.2019 Nie od dziś wiadomo, że szkodniki próbują zagościć w systemie użytkownika próbując podszywać się pod znane i zaufane aplikacje...ponieważ sama nazwa aplikacji to już za mało, starają się wykorzystać więc ogólnie uznane certyfikaty, dzięki czemu zostaje nadany im status aplikacji zaufanej czy zaufanego pliku/procesu. To z kolei powoduje, że przeważnie stają się niewidoczne dla istniejących w systemie mechanizmów zabezpieczających. W dużym uproszczeniu można powiedzieć, że na takim mechanizmie opiera się właściwie cały system zaufania i przyznawania uprawnień dla instalowanych programów czy uruchamianych plików...i jak widzimy nie jest do końca skuteczny. Badania firmy Chronicle, które anonsuje artykuł na BC wskazują, że liczba takich szkodników idzie już w tysiące, co pokazuje, że taki mechanizm przestał być domeną zaawansowanych i wyrafinowanych szkodników, a staje się z każdym dniem metodą coraz bardziej powszechną. Próbki zbierano przez rok, a kryterium kwalifikującym było więcej niż 15 wskazań pozytywnych na VT...co oznacza, że istnieją zapewne setki tych, które miały mniej...hmmm... No dobra...próbek takiego "zaufanego" malware zebrano w sumie 3815,a certyfikaty należały do m.in.Sectigo, Thawte, VeriSign, Symantec, DigiCert, GlobalSign, WoSign, Go Daddy, WoTrus, GDCA, Certum, E-Tugra i Entrust. Sectigo to nowa nazwa dla certyfikatów wcześniej sygnowanych jako Comodo, a piszę o nich dlatego, że to największy "udziałowiec" w tym zestawieniu - 1775 próbek...reszta na diagramie poniżej Istotną informacją tutaj jest również ta, w jakim stopniu zwalcza się ten proceder...ono w niewielkim, bo właściwie jedyną metodą to odwołanie/unieważnienie takiego certyfikatu, ale zrobiono to w zaledwie ok. 21% przypadków. Reszta wciąż jest traktowana jako legalna i godna zaufania. Źródło informacji [Aby zobaczyć linki, zarejestruj się tutaj] Oryginalny raport[Aby zobaczyć linki, zarejestruj się tutaj] @chroniclesec/abusing-code-signing-for-profit-ef80a37b50f4To nie jest niestety temat teoretyczny, ani wydumany...każdy z nas - użytkowników aplikacji zabezpieczających - spotkał się z prawdopodobnie z nim, choć zapewne nie zdawał sobie z tego sprawy. Chodzi mi tu o bardzo często, żeby nie powiedzieć nagminnie, stosowane rozwiązanie w postaci mechanizmu automatycznego zaufania dla aplikacji z ważnym certyfikatem - jest on domyślnie włączony w każdym programie AV/IS czy innym, który w jakiś sposób kontroluje uruchamiane procesy/pliki. Może się nazywać - zaufane certyfikaty - lista podpisów cyfrowych - lista zaufanych aplikacji - programy zaufane dla "xxxx" (i tu nazwa producenta programu) albo jakoś podobnie, ale sprowadza się właściwie do jednego czyli odgórnie sporządzonej listy zaufanych plików wykonywalnych. W efekcie tworzymy sobie i na własne żądanie w systemie dziurę...lukę...podatność...furtkę...przez którą szkodniki bez większych przeszkód mogą nam w systemie się rozgościć. To problem znany od lat i stanowi chyba nierozwiązany do tej pory dylemat producenta i użytkownika - większa kontrola, ale za to konieczność podejmowania decyzji czy raczej łatwość obsługi (może nawet bezobsługowość) i zadowolenie użytkownika i większy sukces (komercyjny może?). Tu każdy z nas musi jednak sam zmierzyć się z tym problemem |