Το κακόβουλο λογισμικό που έχει υπογράψει κώδικες είναι μια νέα απειλή για τους χρήστες υπολογιστών. Πώς μπορείτε να προστατεύσετε τον υπολογιστή σας και τα δεδομένα από κακόβουλο λογισμικό που έχει υπογράψει κώδικα;

Τι είναι το κακόβουλο λογισμικό που υπογράφηκε με κώδικα και πώς το αποφεύγετε;

Διαφήμιση Η υπογραφή κώδικα είναι η πρακτική της κρυπτογραφικής υπογραφής ενός λογισμικού, έτσι ώστε το λειτουργικό σύστημα και οι χρήστες του να μπορούν να επαληθεύσουν ότι είναι ασφαλές. Η υπογραφή κώδικα λειτουργεί καλά, σε γενικές γραμμές. Το μεγαλύτερο μέρος του χρόνου, μόνο το σωστό λογισμικό χρησιμοποιεί την αντίστοιχη κρυπτογραφική υπογ

Διαφήμιση

Η υπογραφή κώδικα είναι η πρακτική της κρυπτογραφικής υπογραφής ενός λογισμικού, έτσι ώστε το λειτουργικό σύστημα και οι χρήστες του να μπορούν να επαληθεύσουν ότι είναι ασφαλές. Η υπογραφή κώδικα λειτουργεί καλά, σε γενικές γραμμές. Το μεγαλύτερο μέρος του χρόνου, μόνο το σωστό λογισμικό χρησιμοποιεί την αντίστοιχη κρυπτογραφική υπογραφή του.

Οι χρήστες μπορούν να κάνουν λήψη και εγκατάσταση με ασφάλεια, και οι προγραμματιστές προστατεύουν τη φήμη του προϊόντος τους. Ωστόσο, οι διανομείς hackers και κακόβουλου λογισμικού χρησιμοποιούν αυτό το ακριβές σύστημα για να βοηθήσουν τους κακόβουλους κώδικες να γλιστρήσουν από προηγούμενες σειρές προστασίας από ιούς και άλλα προγράμματα ασφαλείας.

Πώς λειτουργεί το κακόβουλο λογισμικό που έχει υπογράψει κώδικα και το ransomware;

Τι είναι το κακό υπογεγραμμένο κώδικα;

Όταν το λογισμικό είναι κωδικοποιημένο, αυτό σημαίνει ότι το λογισμικό φέρει επίσημη κρυπτογραφική υπογραφή. Μια αρχή έκδοσης πιστοποιητικών (CA) εκδίδει το λογισμικό με πιστοποιητικό που επιβεβαιώνει ότι το λογισμικό είναι νόμιμο και ασφαλές για χρήση.

Ακόμα καλύτερα, το λειτουργικό σας σύστημα φροντίζει για τα πιστοποιητικά, τον έλεγχο κώδικα και την επαλήθευση, οπότε δεν χρειάζεται να ανησυχείτε. Για παράδειγμα, τα Windows χρησιμοποιούν αυτό που είναι γνωστό ως αλυσίδα πιστοποιητικών. Η αλυσίδα πιστοποιητικών αποτελείται από όλα τα πιστοποιητικά που απαιτούνται για να διασφαλιστεί ότι το λογισμικό είναι νόμιμο σε κάθε βήμα του τρόπου.

"Μια αλυσίδα πιστοποιητικών αποτελείται από όλα τα πιστοποιητικά που απαιτούνται για την πιστοποίηση του θέματος που προσδιορίζεται από το τελικό πιστοποιητικό. Στην πράξη, αυτό περιλαμβάνει το τελικό πιστοποιητικό, τα πιστοποιητικά των ενδιάμεσων ΑΠ και το πιστοποιητικό μιας ΑΠ ΑΠ που εμπιστεύονται όλα τα μέρη της αλυσίδας. Κάθε ενδιάμεση ΑΠ στην αλυσίδα κατέχει ένα πιστοποιητικό που εκδίδεται από το CA ένα επίπεδο πάνω από αυτό στην ιεραρχία εμπιστοσύνης. Η ρίζα της CA εκδίδει πιστοποιητικό για τον εαυτό της. "

Όταν το σύστημα λειτουργεί, μπορείτε να εμπιστευθείτε το λογισμικό. Το σύστημα υπογραφής και υπογραφής κωδικών απαιτεί τεράστια εμπιστοσύνη. Κατά συνέπεια, το κακόβουλο λογισμικό είναι κακόβουλο, αναξιόπιστο και δεν πρέπει να έχει πρόσβαση σε μια Αρχή Πιστοποίησης ή υπογραφή κώδικα. Ευτυχώς, στην πράξη, έτσι λειτουργεί το σύστημα.

Μέχρι που οι προγραμματιστές κακόβουλου λογισμικού και οι χάκερ βρουν έναν τρόπο γύρω τους, βέβαια.

Hackers κλέβουν πιστοποιητικά από τις αρχές έκδοσης πιστοποιητικών

Το antivirus σας γνωρίζει ότι το κακόβουλο λογισμικό είναι κακόβουλο, επειδή έχει αρνητικές επιπτώσεις στο σύστημά σας. Προβάλλει προειδοποιήσεις, οι χρήστες αναφέρουν προβλήματα και το antivirus μπορεί να δημιουργήσει μια υπογραφή malware για την προστασία άλλων υπολογιστών χρησιμοποιώντας το ίδιο εργαλείο προστασίας από ιούς.

Ωστόσο, εάν οι προγραμματιστές κακόβουλου λογισμικού μπορούν να υπογράψουν τον κακόβουλο κώδικα τους χρησιμοποιώντας μια επίσημη κρυπτογραφική υπογραφή, τίποτα από αυτά δεν θα συμβεί. Αντίθετα, το κακόβουλο λογισμικό που έχει υπογράψει κώδικα θα περπατήσει μέσα από την μπροστινή πόρτα, καθώς το λογισμικό προστασίας από ιούς και το λειτουργικό σύστημα βγάζουν το κόκκινο χαλί.

Η έρευνα Trend Micro διαπίστωσε ότι υπάρχει μια ολόκληρη αγορά κακόβουλου λογισμικού που υποστηρίζει την ανάπτυξη και τη διανομή του κακόβουλου λογισμικού που έχει υπογράψει κώδικες. Οι φορείς εκμετάλλευσης κακόβουλων προγραμμάτων αποκτούν πρόσβαση σε έγκυρα πιστοποιητικά τα οποία χρησιμοποιούν για να υπογράψουν κακόβουλο κώδικα. Ο παρακάτω πίνακας δείχνει τον όγκο του κακόβουλου λογισμικού που χρησιμοποιεί υπογραφή κώδικα για να αποφύγει την προστασία από ιούς, από τον Απρίλιο του 2018.

τάση μικροκώδικα υπέγραψε πίνακα τύπου κακόβουλου λογισμικού

Η έρευνα Trend Micro διαπίστωσε ότι περίπου το 66% των δειγματοληψιών κακόβουλου λογισμικού υπογράφηκε με κωδικό. Επιπλέον, ορισμένοι τύποι κακόβουλου λογισμικού έρχονται με περισσότερες υπογραφές υπογραφής κώδικα, όπως τα trojans, droppers και ransomware. (Εδώ είναι επτά τρόποι για να αποφευχθεί μια επίθεση ransomware 7 τρόποι για να αποφύγετε να χτυπηθεί από Ransomware 7 τρόποι για να αποφύγετε να χτυπήσει από Ransomware Το Ransomware μπορεί κυριολεκτικά να καταστρέψει τη ζωή σας Κάνετε αρκετά για να αποφύγετε την απώλεια των προσωπικών σας δεδομένων και των φωτογραφιών σας σε ψηφιακή εκβίαση; Περισσότερο !)

Από πού προέρχονται τα πιστοποιητικά υπογραφής κώδικα;

Οι διανομείς κακόβουλων προγραμμάτων και οι προγραμματιστές έχουν δύο επιλογές σχετικά με τον επίσημα υπογεγραμμένο κώδικα. Τα πιστοποιητικά είτε κλέβονται από μια αρχή έκδοσης πιστοποιητικών (απευθείας, είτε για μεταπώληση), ή ένας χάκερ μπορεί να επιχειρήσει να μιμηθεί έναν νόμιμο οργανισμό και να πλαστογραφήσει τις απαιτήσεις του.

Όπως θα περίμενε κανείς, μια αρχή έκδοσης πιστοποιητικών είναι ένας εντυπωσιακός στόχος για κάθε χάκερ.

Δεν είναι μόνο οι χάκερ που τροφοδοτούν την αύξηση του κακόβουλου λογισμικού που έχει υπογράψει κώδικες. Οι φερόμενοι αδίστακτοι πωλητές με πρόσβαση σε νόμιμα πιστοποιητικά πωλούν αξιόπιστα πιστοποιητικά υπογραφής κώδικα σε προγραμματιστές και διανομείς κακόβουλου λογισμικού. Μια ομάδα ερευνητών ασφάλειας από το Πανεπιστήμιο Masaryk στην Τσεχία και το Κέντρο για την Ασφάλεια Κινηματογράφου στο Μέριλαντ (MCC) ανακάλυψαν τέσσερις οργανισμούς που πωλούσαν [PDF] πιστοποιητικά Microsoft Authenticode σε ανώνυμους αγοραστές.

"Οι πρόσφατες μετρήσεις του οικοσυστήματος πιστοποιητικών υπογραφής κώδικα των Windows έχουν επισημάνει διάφορες μορφές κακοποίησης που επιτρέπουν στους δημιουργούς κακόβουλου λογισμικού να παράγουν κακόβουλο κώδικα που φέρει έγκυρες ψηφιακές υπογραφές".

Μόλις ένας προγραμματιστής κακόβουλου λογισμικού έχει πιστοποιητικό Microsoft Authenticode, μπορεί να υπογράψει οποιοδήποτε κακόβουλο λογισμικό σε μια προσπάθεια να εμποδίσει την υπογραφή κώδικα ασφαλείας των Windows και την υπεράσπιση που βασίζεται σε πιστοποιητικά.

Σε άλλες περιπτώσεις, αντί να κλέψει τα πιστοποιητικά, ένας χάκερ θα υπονομεύσει έναν διακομιστή δημιουργίας λογισμικού. Όταν μια νέα έκδοση λογισμικού κυκλοφορεί στο κοινό, φέρει ένα νόμιμο πιστοποιητικό. Αλλά ένας χάκερ μπορεί επίσης να συμπεριλάβει τον κακόβουλο κώδικα του στη διαδικασία. Μπορείτε να διαβάσετε σχετικά με ένα πρόσφατο παράδειγμα αυτού του τύπου επίθεσης παρακάτω.

3 Παραδείγματα κακόβουλου λογισμικού που υπογράφηκε με κωδικό

Έτσι, πώς μοιάζει το κακόβουλο λογισμικό με κωδικό; Ακολουθούν τρία παραδείγματα κακόβουλου λογισμικού με κωδικό:

  1. Stuxnet malware . Το κακόβουλο λογισμικό που είναι υπεύθυνο για την καταστροφή του ιρανικού πυρηνικού προγράμματος χρησιμοποίησε δύο κλεμμένα πιστοποιητικά για να διαδοθεί, μαζί με τέσσερα διαφορετικά εκμεταλλεύματα μηδενικής ημέρας. Τα πιστοποιητικά είχαν κλαπεί από δύο ξεχωριστές εταιρείες - JMicron και Realtek - που μοιράζονταν ένα ενιαίο κτίριο. Το Stuxnet χρησιμοποίησε τα κλεμμένα πιστοποιητικά για να αποφύγει την τότε εισαχθείσα απαίτηση των Windows ότι όλοι οι οδηγοί χρειάστηκαν επαλήθευση (υπογραφή οδηγού).
  2. Παραβίαση διακομιστή Asus . Κάποτε μεταξύ Ιουνίου και Νοεμβρίου 2018, οι χάκερ παραβίασαν έναν διακομιστή Asus που χρησιμοποιεί η εταιρεία για να ωθήσει τις ενημερώσεις λογισμικού στους χρήστες. Οι ερευνητές στο Kaspersky Lab διαπίστωσαν ότι περίπου 500.000 μηχανές Windows έλαβαν την κακόβουλη ενημέρωση πριν κανείς καταλάβει. Αντί να κλέψουν τα πιστοποιητικά, οι hackers υπέγραψαν το κακόβουλο λογισμικό τους με νόμιμα ψηφιακά πιστοποιητικά της Asus, πριν ο διακομιστής λογισμικού διανείμει την ενημέρωση του συστήματος. Ευτυχώς, το κακόβουλο λογισμικό ήταν πολύ στοχευμένο, σκληρό κωδικοποιημένο για την αναζήτηση 600 συγκεκριμένων μηχανών.
  3. Flame malware . Η τροποποιημένη παραλλαγή κακόβουλου λογισμικού Flame στοχεύει χώρες της Μέσης Ανατολής, χρησιμοποιώντας πιστοποιητικά με δόλια υπογραφή για να αποφευχθεί η ανίχνευση. (Τι είναι αρθρωτό κακόβουλο λογισμικό, ούτως ή άλλως Modular κακόβουλο λογισμικό: Η νέα μυστική επίθεση Κλέβοντας τα δεδομένα σας Modular Malware: Η νέα μυστική επίθεση Κλοπή των δεδομένων σας Το κακόβουλο λογισμικό έχει γίνει πιο δύσκολο να εντοπιστεί. ? Διαβάστε περισσότερα;) Οι προγραμματιστές της Flame εκμεταλλεύτηκαν έναν αδύναμο κρυπτογραφικό αλγόριθμο για να υπογράψουν ψευδώς τα πιστοποιητικά υπογραφής κώδικα, καθιστώντας την εμφανισμένη σαν να τα είχε υπογράψει η Microsoft. Σε αντίθεση με το Stuxnet που φέρει ένα καταστρεπτικό στοιχείο, η Flame είναι ένα εργαλείο για την κατασκοπεία, αναζητώντας αρχεία PDF, αρχεία AutoCAD, αρχεία κειμένου και άλλους σημαντικούς τύπους βιομηχανικών εγγράφων.

Πώς να αποφύγετε Malware υπογεγραμμένο με κώδικα

Τρεις διαφορετικές παραλλαγές κακόβουλου λογισμικού, τρεις διαφορετικοί τύποι επίθεσης υπογραφής κώδικα. Τα καλά νέα είναι ότι τα περισσότερα κακόβουλα προγράμματα αυτού του τύπου είναι, τουλάχιστον κατά την τρέχουσα περίοδο, πολύ στοχευμένα.

Το flipside είναι ότι λόγω του ποσοστού επιτυχίας τέτοιων παραλλαγών κακόβουλου λογισμικού που χρησιμοποιούν υπογραφή κώδικα για να αποφευχθεί η ανίχνευση, αναμένουν από περισσότερους προγραμματιστές κακόβουλου λογισμικού να χρησιμοποιήσουν την τεχνική για να βεβαιωθούν ότι οι επιθέσεις τους είναι επιτυχείς.

Παράλληλα, η προστασία από το κακόβουλο λογισμικό που έχει υπογράψει κώδικες είναι εξαιρετικά δύσκολη. Είναι απαραίτητη η διαρκής ενημέρωση του συστήματός σας και της σουίτας προστασίας από ιούς, αποφεύγετε να κάνετε κλικ σε άγνωστους συνδέσμους και να ελέγξετε από πού θα σας πάει κάποιος σύνδεσμος πριν τον ακολουθήσετε.

Εκτός από την ενημέρωση των antivirus σας, ελέγξτε τη λίστα μας για το πώς μπορείτε να αποφύγετε κακόβουλο λογισμικό Λογισμικό Antivirus δεν είναι αρκετό: 5 πράγματα που πρέπει να κάνετε για να αποφύγετε Malware Λογισμικό προστασίας από ιούς δεν είναι αρκετό: 5 πράγματα που πρέπει να κάνετε για να αποφύγετε Malware Διατηρήστε ασφαλή και ασφαλή online μετά την εγκατάσταση λογισμικού προστασίας από ιούς, ακολουθώντας τα παρακάτω βήματα για ασφαλέστερη χρήση υπολογιστών. Διαβάστε περισσότερα !

Εξερευνήστε περισσότερα σχετικά με: Malware, Online Ασφάλεια, Πιστοποιητικό Ασφαλείας.