Vad är kodskylt skadligt program och hur undviker du det?

Annons

Kodsignering är praxis att kryptera en programvara så att operativsystemet och dess användare kan verifiera att det är säkert. Kodsignering fungerar i stort sett bra. Merparten av tiden är det bara rätt programvara som använder motsvarande kryptografiska signatur.

Användare kan ladda ner och installera säkert, och utvecklare skyddar deras produkts rykte. Men hackare och distributörer av skadlig programvara använder det exakta systemet för att hjälpa skadlig kod glida förbi antivirussviter och andra säkerhetsprogram.

Hur fungerar kodsignerad skadlig programvara och ransomware?

Vad är kodsignerad skadlig programvara?

När programvara är kodsignerad betyder det att programvaran har en officiell kryptografisk signatur. En certifikatutfärdare (CA) utfärdar programvaran med ett certifikat som bekräftar att programvaran är legitim och säker att använda.

Ännu bättre är att ditt operativsystem tar hand om certifikaten, kodkontrollen och verifieringen, så du behöver inte oroa dig. Windows använder till exempel det som kallas

en certifikatkedja. Certifikatkedjan består av alla certifikat som krävs för att säkerställa att programvaran är legitim i varje steg på vägen.

”En certifikatkedja består av alla certifikat som krävs för att certifiera ämnet som identifieras av slutcertifikatet. I praktiken inkluderar detta slutcertifikatet, certifikaten för mellanliggande CA och certifikatet för en root CA som är betrodd av alla parter i kedjan. Varje mellanliggande CA i kedjan har ett certifikat som utfärdats av CA en nivå ovanför det i förtroendeshierarkin. Rot CA utfärdar ett certifikat för sig själv. "

När systemet fungerar kan du lita på programvara. CA- och kodsigneringssystemet kräver enormt mycket förtroende. I förlängningen är skadlig programvara skadlig, opålitlig och bör inte ha tillgång till en certifikatutfärdare eller kodsignering. Tack och lov i praktiken är det så systemet fungerar.

Tills skadliga utvecklare och hackare hittar en väg naturligtvis.

Hackare stjäl certifikat från certifikatutfärdare

Ditt antivirusprogram vet att skadlig programvara är skadlig eftersom det har en negativ inverkan på ditt system. Det utlöser varningar, användare rapporterar problem och antiviruset kan skapa en malware-signatur för att skydda andra datorer med samma antivirusverktyg.

Men om malware-utvecklarna kan underteckna sin skadliga kod med en officiell kryptografisk signatur kommer inget av det att hända. Istället går den kodsignerade skadliga skadliga programmen genom ytterdörren när ditt antivirusprogram och operativsystemet rullar ut den röda mattan.

Trend Micro-forskning fann att det finns en hel marknad för skadlig programvara som stöder utveckling och distribution av kodsignerad skadlig programvara. Malwareoperatörer får tillgång till giltiga certifikat som de använder för att underteckna skadlig kod. Följande tabell visar volymen skadlig programvara som använder kodsignering för att undvika antivirus från april 2018.

Trend Micro-forskningen fann att cirka 66 procent av skadlig programvara som togs in var kodsignerad. Dessutom kommer vissa skadliga programtyper med fler kodsigneringsinstanser, till exempel trojaner, droppar och ransomware. (Här är sju sätt att undvika en ransomware-attack 7 sätt att undvika att drabbas av RansomwareRansomware kan bokstavligen förstöra ditt liv. Gör du tillräckligt för att undvika att förlora dina personuppgifter och foton till digital utpressning? Läs mer !)

Var kommer kodsigneringscertifikat ifrån?

Distributörer och utvecklare av skadlig programvara har två alternativ när det gäller officiellt signerad kod. Certifikat är antingen stulna från en certifikatutfärdare (direkt eller för återförsäljning), eller så kan en hacker försöka efterlikna en legitim organisation och förfalska deras krav.

Som du kan förvänta dig är en certifikatutfärdare ett lockande mål för alla hackare.

Det är inte bara hackare som driver ökningen av kodsignerad skadlig programvara. Påstås skrupelfria leverantörer med tillgång till legitima certifikat säljer betrodda kodsigneringscertifikat till malware-utvecklare och distributörer. Ett team av säkerhetsforskare från Masaryk University i Tjeckien och Maryland Cybersecurity Center (MCC) upptäckte fyra organisationer som säljer [PDF] Microsoft Authenticode-certifikat till anonyma köpare.

"Nya mätningar av ekosystemet för Windows-kodsigneringscertifikat har lyfts fram olika former av missbruk som gör det möjligt för malware-författare att producera skadlig kod som har giltiga digitala signaturer."

När en skadlig programutvecklare har ett Microsoft Authenticode-certifikat kan de underteckna valfri skadlig programvara i ett försök att förneka Windows-säkerhetskodssignering och certifikatbaserat försvar.

I andra fall, snarare än att stjäla certifikaten, kommer en hackare att kompromissa med en mjukvarubaserad server. När en ny programvaruversion släpps för allmänheten har den ett legitimt certifikat. Men en hacker kan också inkludera deras skadliga kod i processen. Du kan läsa om ett nyligen exempel på denna typ av attack nedan.

3 Exempel på kodsignerad skadlig programvara

Så, hur ser kodsignerad skadlig programvara ut? Här är tre kodsignerade malware-exempel:

1. Stuxnet skadlig programvara. Den skadliga skadliga programmen för att förstöra det iranska kärnenergiprogrammet använde två stulna certifikat för att sprida, tillsammans med fyra olika nolldagars exploater. Certifikaten stulits från två separata företag - JMicron och Realtek - som delade en enda byggnad. Stuxnet använde de stulna certifikaten för att undvika det då nyinförda Windows-kravet att alla drivrutiner krävde verifiering (förarsignering).
2. Asus-serverbrott. Någon gång mellan juni och november 2018 bröt hackare en Asus-server som företaget använder för att driva programuppdateringar till användare. Forskare vid Kaspersky Lab hittade det runt 500 000 Windows-maskiner fick den skadliga uppdateringen innan någon insåg. Istället för att stjäla certifikaten undertecknade hackarna sin skadliga program med legitima Asus digitala certifikat innan mjukvaranservern distribuerade systemuppdateringen. Lyckligtvis var skadlig programvara riktad och hårdkodad för att söka efter 600 specifika maskiner.
3. Flame malware. Den modulära skadliga varianten Flame riktar sig till länder i Mellanöstern och använder bedrägligt signerade certifikat för att undvika upptäckt. (Vad är ändå modulär skadlig kod Modular Malware: The New Stealthy Attack Steling Your DataMalware har blivit svårare att upptäcka. Vad är modulär skadlig programvara och hur du stoppar det med att göra kaos på din dator? Läs mer ?) Flame-utvecklarna utnyttjade en svag kryptografisk algoritm för att felaktigt underteckna kodsigneringscertifikaten, vilket gjorde att det verkar som om Microsoft hade skrivit av dem. Till skillnad från Stuxnet som bar ett förstörande element, är Flame ett verktyg för spionage, söka efter PDF-filer, AutoCAD-filer, textfiler och andra viktiga industridokumenttyper.

Hur man undviker kod-signerad skadlig programvara

Tre olika skadliga varianter, tre olika typer av kodsigneringsattacker. Den goda nyheten är att de flesta skadliga program av denna typ är, åtminstone just nu, mycket riktade.

Flipsen är att på grund av framgångsgraden för sådana skadliga varianter som använder kodsignering för att undvika upptäckt, förvänta sig att fler malware-utvecklare använder tekniken för att se till att deras egna attacker är framgångsrik.

Förutom detta är det extremt svårt att skydda mot kodsignerad skadlig programvara. Att hålla ditt system och ditt antivirusprogram uppdaterat är viktigt, undvik att klicka på okända länkar och dubbelkontrollera var någon länk tar dig innan du följer den.

Annat än att uppdatera ditt antivirus, kolla vår lista med hur du kan undvika skadlig programvara Antivirusprogram är inte tillräckligt: ​​5 saker du måste göra för att undvika skadlig programvaraHåll dig trygg och säker online när du har installerat antivirusprogram genom att följa dessa steg för säkrare datoranvändning. Läs mer !