Что такое вредоносное ПО с кодовой подписью и как его избежать?
Обзоры технологий

Что такое вредоносное ПО с кодовой подписью и как его избежать?

Вредоносные программы с кодовыми подписями – это новая угроза для пользователей компьютеров. Как защитить свой компьютер и данные от вредоносных программ с кодовыми подписями?

Подписание кода – это практика криптографического подписания части программного обеспечения, чтобы операционная система и ее пользователи могли убедиться в его безопасности. В целом, подписание кода работает хорошо. В большинстве случаев только правильное программное обеспечение использует соответствующую криптографическую подпись

Пользователи могут безопасно скачивать и устанавливать, а разработчики защищают репутацию своего продукта. Однако хакеры и распространители вредоносного ПО используют именно эту систему, чтобы помочь вредоносному коду проскользнуть мимо антивирусных комплексов и других программ безопасности

Как работают вредоносные программы с кодовой подписью и программы-выкупы?

Что такое вредоносное ПО с кодовой подписью?

Когда программное обеспечение имеет кодовую подпись, это означает, что оно содержит официальную криптографическую подпись. Центр сертификации (ЦС) выдает программе сертификат, подтверждающий, что программа легитимна и безопасна для использования

Еще лучше, если ваша операционная система позаботится о сертификатах, проверке кода и верификации, так что вам не придется беспокоиться. Например, в Windows используется так называемая цепочка сертификатов. Цепочка сертификатов состоит из всех сертификатов, необходимых для обеспечения легитимности программного обеспечения на каждом шаге пути

‘Цепочка сертификатов состоит из всех сертификатов, необходимых для сертификации субъекта, идентифицированного конечным сертификатом. На практике это включает в себя конечный сертификат, сертификаты промежуточных УЦ и сертификат корневого УЦ, которому доверяют все участники цепочки. Каждый промежуточный ЦС в цепочке имеет сертификат, выданный ЦС, находящимся на один уровень выше него в иерархии доверия. Корневой ЦС выпускает сертификат для себя’

Когда система работает, вы можете доверять программному обеспечению.CA и система подписания кода требуют огромного доверия. Следовательно, вредоносное ПО является вредоносным, не заслуживающим доверия и не должно иметь доступа к центру сертификации или подписи кода. К счастью, на практике система работает именно так

Конечно, до тех пор, пока разработчики вредоносных программ и хакеры не найдут способ обойти ее

Хакеры крадут сертификаты из центров сертификации

Ваш антивирус знает, что вредоносное ПО является вредоносным, поскольку оно оказывает негативное воздействие на систему. Оно вызывает предупреждения, пользователи сообщают о проблемах, и антивирус может создать сигнатуру вредоносного ПО для защиты других компьютеров, использующих тот же антивирусный инструмент

Однако если разработчики вредоносного ПО могут подписать свой вредоносный код с помощью официальной криптографической подписи, ничего этого не произойдет. Вместо этого вредоносная программа с кодовой подписью будет проходить через парадную дверь, пока ваш антивирус и операционная система расстилают красную ковровую дорожку

Исследование Trend Micro показало, что существует целый рынок вредоносного ПО, поддерживающий разработку и распространение вредоносных программ с кодовыми подписями. Операторы вредоносного ПО получают доступ к действующим сертификатам, которые они используют для подписи вредоносного кода. В следующей таблице представлен объем вредоносного ПО, использующего подписание кода для обхода антивирусов, по состоянию на апрель 2018 года

Исследование Trend Micro показало, что около 66% вредоносных программ, попавших в выборку, имеют кодовую подпись. Более того, некоторые типы вредоносных программ имеют большее количество подписей кода, например троянские программы, программы-дропперы и программы-выкупы.(Вот семь способов избежать атаки ransomware!)

Откуда берутся сертификаты подписи кода?

У распространителей и разработчиков вредоносных программ есть два варианта действий в отношении официально подписанного кода. Сертификаты либо крадут у центра сертификации (напрямую или для перепродажи), либо хакер может попытаться сымитировать легитимную организацию и подделать ее требования

Как и следовало ожидать, центр сертификации является заманчивой целью для любого хакера

Не только хакеры способствуют росту числа вредоносных программ с кодовой подписью. Предположительно недобросовестные поставщики, имеющие доступ к легитимным сертификатам, также продают доверенные сертификаты с кодовой подписью разработчикам и распространителям вредоносного ПО. Группа исследователей безопасности из Университета Масарика в Чехии и Мэрилендского центра кибербезопасности (MCC) обнаружила четыре организации, продающие PDF сертификаты Microsoft Authenticode анонимным покупателям

‘Недавние измерения экосистемы сертификатов подписи кода Windows выявили различные формы злоупотреблений, которые позволяют авторам вредоносных программ создавать вредоносный код, содержащий действительные цифровые подписи’

Как только у разработчика вредоносного ПО появляется сертификат Microsoft Authenticode, он может подписать любое вредоносное ПО в попытке свести на нет кодовую подпись безопасности Windows и защиту на основе сертификатов

В других случаях, вместо того чтобы красть сертификаты, хакер компрометирует сервер сборки программного обеспечения. Когда новая версия программного обеспечения выходит в свет, она содержит легитимный сертификат. Но хакер может включить в него свой вредоносный код. О недавнем примере такой атаки вы можете прочитать ниже

3 примера вредоносных программ с кодовой подписью

Итак, как выглядит вредоносное ПО с кодовой подписью? Вот три примера вредоносных программ с кодовой подписью:

  1. Вредоносная программа Stuxnet. Вредоносная программа, ответственная за уничтожение иранской ядерной программы, использовала для распространения два украденных сертификата, а также четыре различных эксплойта нулевого дня. Сертификаты были украдены у двух разных компаний – JMicron и Realtek, – которые находились в одном здании.Stuxnet использовал украденные сертификаты, чтобы избежать недавно введенного в Windows требования о том, что все драйверы должны быть проверены (подписи драйверов).
  2. Взлом сервера Asus. В период с июня по ноябрь 2018 года хакеры взломали сервер Asus, который компания использует для рассылки пользователям обновлений программного обеспечения. Исследователи из ‘Лаборатории Касперского’ обнаружили, что около 500 000 машин Windows получили вредоносное обновление до того, как об этом кто-то узнал. Вместо того чтобы украсть сертификаты, хакеры подписали свою вредоносную программу законными цифровыми сертификатами Asus до того, как сервер программного обеспечения распространил обновление системы. К счастью, вредоносная программа была очень целенаправленной и была запрограммирована на поиск 600 конкретных машин.
  3. Вредоносная программа Flame. Вариант модульного вредоносного ПО Flame нацелен на страны Ближнего Востока и использует поддельные сертификаты, чтобы избежать обнаружения. (Что такое модульное вредоносное ПО?) Разработчики Flame использовали слабый криптографический алгоритм для ложной подписи сертификатов подписи кода, создавая впечатление, что их подписала компания Microsoft. В отличие от Stuxnet, который нес разрушительный элемент, Flame является инструментом шпионажа, выискивая PDF-файлы, файлы AutoCAD, текстовые файлы и другие важные типы промышленных документов.

 

Как избежать вредоносных программ с кодовой подписью

Три разных варианта вредоносного ПО, три разных типа атаки на подпись кода. Хорошая новость заключается в том, что большинство вредоносных программ этого типа, по крайней мере в настоящее время, являются узконаправленными

Обратная сторона заключается в том, что из-за успеха таких вариантов вредоносных программ, использующих подпись кода для избежания обнаружения, ожидается, что больше разработчиков вредоносных программ будут использовать эту технику для обеспечения успеха своих собственных атак

Кроме того, защита от вредоносных программ с кодовой подписью чрезвычайно сложна. Необходимо следить за обновлением системы и антивирусного пакета, не переходить по незнакомым ссылкам и дважды проверять, куда ведет любая ссылка, прежде чем перейти по ней

Помимо обновления антивируса, ознакомьтесь с нашим списком способов защиты от вредоносных программ!

Об авторе

Алексей Белоусов

Привет, меня зовут Филипп. Я фрилансер энтузиаст . В свободное время занимаюсь переводом статей и пишу о потребительских технологиях для широкого круга изданий , не переставая питать большую страсть ко всему мобильному =)

Комментировать

Оставить комментарий

ВАМ БУДЕТ ИНТЕРЕСНО