Wzrost liczby malware z prawidłowym zaufanym certyfikatem
#1
Nie od dziś wiadomo, że szkodniki próbują zagościć w systemie użytkownika próbując podszywać się pod znane i zaufane aplikacje...ponieważ sama nazwa aplikacji to już za mało, starają się wykorzystać więc ogólnie uznane certyfikaty, dzięki czemu zostaje nadany im status aplikacji zaufanej czy zaufanego pliku/procesu. To z kolei powoduje, że przeważnie stają się niewidoczne dla istniejących w systemie mechanizmów zabezpieczających. W dużym uproszczeniu można powiedzieć, że na takim mechanizmie opiera się właściwie cały system zaufania i przyznawania uprawnień dla instalowanych programów czy uruchamianych plików...i jak widzimy nie jest do końca skuteczny.
Badania firmy Chronicle, które anonsuje artykuł na BC wskazują, że liczba takich szkodników idzie już w tysiące, co pokazuje, że taki mechanizm przestał być domeną zaawansowanych i wyrafinowanych szkodników, a staje się z każdym dniem metodą coraz bardziej powszechną. Próbki zbierano przez rok, a kryterium kwalifikującym było więcej niż 15 wskazań pozytywnych na VT...co oznacza, że istnieją zapewne setki tych, które miały mniej...hmmm...
No dobra...próbek takiego "zaufanego" malware zebrano w sumie 3815,a certyfikaty należały do m.in.Sectigo, Thawte, VeriSign, Symantec, DigiCert, GlobalSign, WoSign, Go Daddy, WoTrus, GDCA, Certum, E-Tugra i Entrust. Sectigo to nowa nazwa dla certyfikatów wcześniej sygnowanych jako Comodo, a piszę o nich dlatego, że to największy "udziałowiec" w tym zestawieniu - 1775 próbek...reszta na diagramie poniżej

[Obrazek: 1*NeGlkPgmtwB_J-4GvuvNmA.jpeg]

Istotną informacją tutaj jest również ta, w jakim stopniu zwalcza się ten proceder...ono w niewielkim, bo właściwie jedyną metodą to odwołanie/unieważnienie takiego certyfikatu, ale zrobiono to w zaledwie ok. 21% przypadków. Reszta wciąż jest traktowana jako legalna i godna zaufania.

Źródło informacji

[Aby zobaczyć linki, zarejestruj się tutaj]

Oryginalny raport

[Aby zobaczyć linki, zarejestruj się tutaj]

@chroniclesec/abusing-code-signing-for-profit-ef80a37b50f4

To nie jest niestety temat teoretyczny, ani wydumany...każdy z nas - użytkowników aplikacji zabezpieczających - spotkał się z prawdopodobnie z nim, choć zapewne nie zdawał sobie z tego sprawy. Chodzi mi tu o bardzo często, żeby nie powiedzieć nagminnie, stosowane rozwiązanie w postaci mechanizmu automatycznego zaufania dla aplikacji z ważnym certyfikatem - jest on domyślnie włączony w każdym programie AV/IS czy innym, który w jakiś sposób kontroluje uruchamiane procesy/pliki. Może się nazywać
- zaufane certyfikaty
- lista podpisów cyfrowych
- lista zaufanych aplikacji
- programy zaufane dla "xxxx" (i tu nazwa producenta programu)
albo jakoś podobnie, ale sprowadza się właściwie do jednego czyli odgórnie sporządzonej listy zaufanych plików wykonywalnych. W efekcie tworzymy sobie i na własne żądanie w systemie dziurę...lukę...podatność...furtkę...przez którą szkodniki bez większych przeszkód mogą nam w systemie się rozgościć. To problem znany od lat i stanowi chyba nierozwiązany do tej pory dylemat producenta i użytkownika - większa kontrola, ale za to konieczność podejmowania decyzji czy raczej łatwość obsługi (może nawet bezobsługowość) i zadowolenie użytkownika i większy sukces (komercyjny może?). Tu każdy z nas musi jednak sam zmierzyć się z tym problemem Smile
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości