Διαφήμιση

Η υπογραφή κώδικα είναι η πρακτική της κρυπτογραφικής υπογραφής ενός λογισμικού, έτσι ώστε το λειτουργικό σύστημα και οι χρήστες του να μπορούν να επαληθεύσουν ότι είναι ασφαλές. Η υπογραφή κώδικα λειτουργεί καλά, σε γενικές γραμμές. Το μεγαλύτερο μέρος του χρόνου, μόνο το σωστό λογισμικό χρησιμοποιεί την αντίστοιχη κρυπτογραφική του υπογραφή.

Οι χρήστες μπορούν να πραγματοποιήσουν λήψη και εγκατάσταση με ασφάλεια και οι προγραμματιστές προστατεύουν τη φήμη του προϊόντος τους. Ωστόσο, οι χάκερ και οι διανομείς κακόβουλου λογισμικού χρησιμοποιούν αυτό το ακριβές σύστημα για να βοηθήσουν τον κακόβουλο κώδικα να περάσει από τις σουίτες προστασίας από ιούς και άλλα προγράμματα ασφαλείας.

Πώς λειτουργεί το κακόβουλο λογισμικό και το ransomware με υπογραφή κώδικα;

Τι είναι κακόβουλο λογισμικό με υπογραφή κώδικα;

Όταν το λογισμικό έχει υπογραφή κώδικα, αυτό σημαίνει ότι το λογισμικό φέρει επίσημη κρυπτογραφική υπογραφή. Μια αρχή έκδοσης πιστοποιητικών (CA) εκδίδει το λογισμικό με ένα πιστοποιητικό που επιβεβαιώνει ότι το λογισμικό είναι νόμιμο και ασφαλές στη χρήση.

instagram viewer

Ακόμα καλύτερα, το λειτουργικό σας σύστημα φροντίζει τα πιστοποιητικά, τον έλεγχο κώδικα και την επαλήθευση, οπότε δεν χρειάζεται να ανησυχείτε. Για παράδειγμα, τα Windows χρησιμοποιούν αυτό που είναι γνωστό ως μια αλυσίδα πιστοποιητικών. Η αλυσίδα πιστοποιητικών αποτελείται από όλα τα πιστοποιητικά που απαιτούνται για να διασφαλιστεί ότι το λογισμικό είναι νόμιμο σε κάθε βήμα του τρόπου.

«Μια αλυσίδα πιστοποιητικών αποτελείται από όλα τα πιστοποιητικά που απαιτούνται για την πιστοποίηση του θέματος που προσδιορίζεται από το τελικό πιστοποιητικό. Στην πράξη, αυτό περιλαμβάνει το πιστοποιητικό τερματισμού, τα πιστοποιητικά των ενδιάμεσων CA και το πιστοποιητικό μιας ρίζας CA που εμπιστεύονται όλα τα μέρη της αλυσίδας. Κάθε ενδιάμεσος CA στην αλυσίδα διαθέτει πιστοποιητικό που εκδίδεται από την CA ένα επίπεδο πάνω από αυτό στην ιεραρχία εμπιστοσύνης. Η ρίζα CA εκδίδει ένα πιστοποιητικό από μόνη της. "

Όταν το σύστημα λειτουργεί, μπορείτε να εμπιστευτείτε το λογισμικό. Το CA και το σύστημα υπογραφής κώδικα απαιτούν τεράστια εμπιστοσύνη. Κατ 'επέκταση, το κακόβουλο λογισμικό είναι κακόβουλο, αναξιόπιστο και δεν πρέπει να έχει πρόσβαση σε αρχή έκδοσης πιστοποιητικών ή υπογραφή κώδικα. Ευτυχώς, στην πράξη, έτσι λειτουργεί το σύστημα.

Μέχρις ότου οι προγραμματιστές και οι χάκερ κακόβουλου λογισμικού βρουν έναν τρόπο γύρω του, φυσικά.

Οι χάκερ κλέβουν πιστοποιητικά από αρχές έκδοσης πιστοποιητικών

Το πρόγραμμα προστασίας από ιούς σας γνωρίζει ότι το κακόβουλο λογισμικό είναι κακόβουλο επειδή έχει αρνητική επίδραση στο σύστημά σας. Ενεργοποιεί προειδοποιήσεις, χρήστες αναφέρουν προβλήματα και το antivirus μπορεί να δημιουργήσει υπογραφή κακόβουλου λογισμικού για την προστασία άλλων υπολογιστών χρησιμοποιώντας το ίδιο εργαλείο προστασίας από ιούς.

Ωστόσο, εάν οι προγραμματιστές κακόβουλου λογισμικού μπορούν να υπογράψουν τον κακόβουλο κώδικα χρησιμοποιώντας μια επίσημη κρυπτογραφική υπογραφή, κανένα από αυτά δεν θα συμβεί. Αντίθετα, το κακόβουλο λογισμικό που υπογράφεται θα περάσει από την μπροστινή πόρτα καθώς το λογισμικό προστασίας από ιούς και το λειτουργικό σύστημα ξεδιπλώνουν το κόκκινο χαλί.

Έρευνα Trend Micro διαπίστωσε ότι υπάρχει μια ολόκληρη αγορά κακόβουλου λογισμικού που υποστηρίζει την ανάπτυξη και διανομή κακόβουλου λογισμικού με υπογραφή κώδικα. Οι χειριστές κακόβουλου λογισμικού αποκτούν πρόσβαση σε έγκυρα πιστοποιητικά που χρησιμοποιούν για την υπογραφή κακόβουλου κώδικα. Ο παρακάτω πίνακας δείχνει τον όγκο του κακόβουλου λογισμικού χρησιμοποιώντας την υπογραφή κώδικα για την αποφυγή προστασίας από ιούς, από τον Απρίλιο του 2018.

πίνακας τύπου κακόβουλου λογισμικού με υπογραφή τάσης

Η έρευνα Trend Micro διαπίστωσε ότι περίπου το 66 τοις εκατό του κακόβουλου προγράμματος που έγινε δείγμα ήταν υπογεγραμμένο με κώδικα. Επιπλέον, ορισμένοι τύποι κακόβουλου λογισμικού έρχονται με περισσότερες παρουσίες υπογραφής κώδικα, όπως Trojans, droppers και ransomware. (Εδώ είναι επτά τρόποι για να αποφύγετε μια επίθεση ransomware 7 τρόποι για να αποφύγετε το χτύπημα από το RansomwareΤο Ransomware μπορεί να καταστρέψει κυριολεκτικά τη ζωή σας. Κάνετε αρκετά για να αποφύγετε να χάσετε τα προσωπικά σας δεδομένα και τις φωτογραφίες σας από τον ψηφιακό εκβιασμό; Διαβάστε περισσότερα !)

Από πού προέρχονται τα πιστοποιητικά υπογραφής κώδικα;

Οι διανομείς και προγραμματιστές κακόβουλου λογισμικού έχουν δύο επιλογές σχετικά με τον επίσημα υπογεγραμμένο κώδικα. Τα πιστοποιητικά είτε κλέβονται από μια αρχή έκδοσης πιστοποιητικών (απευθείας, είτε για μεταπώληση), ή ένας εισβολέας μπορεί να προσπαθήσει να μιμηθεί έναν νόμιμο οργανισμό και να παραποιήσει τις απαιτήσεις του.

Όπως θα περίμενε κανείς, μια αρχή έκδοσης πιστοποιητικών είναι ένας δελεαστικός στόχος για κάθε χάκερ.

Δεν είναι μόνο οι χάκερ που τροφοδοτούν την αύξηση του κακόβουλου λογισμικού με υπογραφή κώδικα. Οι φερόμενοι αδίστακτοι προμηθευτές με πρόσβαση σε νόμιμα πιστοποιητικά πωλούν αξιόπιστα πιστοποιητικά υπογραφής κώδικα σε προγραμματιστές και διανομείς κακόβουλου λογισμικού. Μια ομάδα ερευνητών ασφάλειας από το Πανεπιστήμιο Masaryk στην Τσεχική Δημοκρατία και το Maryland Cybersecurity Center (MCC) ανακάλυψε τέσσερις οργανισμούς που πωλούν [PDF] Πιστοποιητικά Microsoft Authenticode σε ανώνυμους αγοραστές.

"Οι πρόσφατες μετρήσεις του οικοσυστήματος πιστοποιητικού υπογραφής κώδικα των Windows έχουν επισημάνει διάφορες μορφές κατάχρησης που επιτρέπουν στους δημιουργούς κακόβουλου λογισμικού να παράγουν κακόβουλο κώδικα με έγκυρες ψηφιακές υπογραφές."

Μόλις ένας προγραμματιστής κακόβουλου λογισμικού διαθέτει πιστοποιητικό Microsoft Authenticode, μπορεί να υπογράψει οποιοδήποτε κακόβουλο λογισμικό σε μια προσπάθεια να αναιρέσει την υπογραφή κώδικα ασφαλείας των Windows και την άμυνα βάσει πιστοποιητικών.

Σε άλλες περιπτώσεις, αντί να κλέψει τα πιστοποιητικά, ένας χάκερ θα θέσει σε κίνδυνο έναν διακομιστή δημιουργίας λογισμικού. Όταν μια νέα έκδοση λογισμικού κυκλοφορεί στο κοινό, φέρει ένα νόμιμο πιστοποιητικό. Αλλά ένας εισβολέας μπορεί επίσης να συμπεριλάβει τον κακόβουλο κώδικα στη διαδικασία. Μπορείτε να διαβάσετε για ένα πρόσφατο παράδειγμα αυτού του τύπου επίθεσης παρακάτω.

3 Παραδείγματα κακόβουλου λογισμικού με υπογραφή κώδικα

Λοιπόν, πώς φαίνεται το κακόβουλο λογισμικό με υπογραφή κώδικα; Ακολουθούν τρία παραδείγματα κακόβουλου λογισμικού με υπογραφή κώδικα:

  1. Κακόβουλο λογισμικό Stuxnet. Το κακόβουλο λογισμικό που ήταν υπεύθυνο για την καταστροφή του ιρανικού πυρηνικού προγράμματος χρησιμοποίησε δύο κλεμμένα πιστοποιητικά για να διαδώσει, μαζί με τέσσερα διαφορετικά μηδενικά. Τα πιστοποιητικά είχαν κλαπεί από δύο ξεχωριστές εταιρείες - JMicron και Realtek - που μοιράστηκαν ένα μόνο κτίριο. Η Stuxnet χρησιμοποίησε τα κλεμμένα πιστοποιητικά για να αποφύγει την τότε απαιτούμενη από τα Windows απαιτούμενη επαλήθευση όλων των προγραμμάτων οδήγησης (υπογραφή προγράμματος οδήγησης).
  2. Παραβίαση διακομιστή Asus. Κάποια περίοδο μεταξύ Ιουνίου και Νοεμβρίου 2018, οι χάκερ παραβίασαν έναν διακομιστή Asus που χρησιμοποιεί η εταιρεία για την προώθηση ενημερώσεων λογισμικού στους χρήστες. Ερευνητές στο Kaspersky Lab το βρήκα γύρω 500.000 υπολογιστές Windows έλαβαν την κακόβουλη ενημέρωση προτού συνειδητοποιήσει κανείς. Αντί να κλέψουν τα πιστοποιητικά, οι χάκερ υπέγραψαν το κακόβουλο λογισμικό τους με νόμιμα ψηφιακά πιστοποιητικά Asus πριν ο διακομιστής λογισμικού διανείμει την ενημέρωση του συστήματος. Ευτυχώς, το κακόβουλο λογισμικό ήταν πολύ στοχευμένο, σκληρό κωδικοποιημένο για αναζήτηση 600 συγκεκριμένων μηχανημάτων.
  3. Κακόβουλο λογισμικό φλόγας. Η παραλλαγή κακόβουλου λογισμικού Flame στοχεύει σε χώρες της Μέσης Ανατολής, χρησιμοποιώντας πλαστά υπογεγραμμένα πιστοποιητικά για την αποφυγή εντοπισμού. (Εν πάση περιπτώσει, τι είναι αρθρωτό κακόβουλο λογισμικό Modular Malware: Η νέα Stealth Attack που κλέβει τα δεδομένα σαςΤο κακόβουλο λογισμικό έχει γίνει πιο δύσκολο να εντοπιστεί. Τι είναι το αρθρωτό κακόβουλο λογισμικό και πώς το σταματάτε να καταστρέφει τον υπολογιστή σας; Διαβάστε περισσότερα Οι προγραμματιστές του Flame εκμεταλλεύτηκαν έναν ασθενή κρυπτογραφικό αλγόριθμο για να υπογράψουν ψευδώς τα πιστοποιητικά υπογραφής κώδικα, κάνοντάς τους να φαίνεται σαν η Microsoft να τα είχε αποσυνδέσει. Σε αντίθεση με το Stuxnet που έφερε ένα καταστρεπτικό στοιχείο, το Flame είναι ένα εργαλείο κατασκοπείας, αναζητώντας αρχεία PDF, αρχεία AutoCAD, αρχεία κειμένου και άλλους σημαντικούς τύπους βιομηχανικών εγγράφων.

Πώς να αποφύγετε κακόβουλο λογισμικό με υπογραφή κώδικα

Τρεις διαφορετικές παραλλαγές κακόβουλου λογισμικού, τρεις διαφορετικοί τύποι επίθεσης υπογραφής κώδικα. Τα καλά νέα είναι ότι τα περισσότερα κακόβουλα προγράμματα αυτού του τύπου είναι, τουλάχιστον αυτήν τη στιγμή, ιδιαίτερα στοχευμένα.

Το αρνητικό είναι ότι λόγω του ποσοστού επιτυχίας τέτοιων παραλλαγών κακόβουλου λογισμικού που χρησιμοποιούν την υπογραφή κώδικα για να αποφευχθούν εντοπισμός, περιμένετε περισσότεροι προγραμματιστές κακόβουλου λογισμικού να χρησιμοποιήσουν την τεχνική για να βεβαιωθούν ότι είναι οι δικές τους επιθέσεις επιτυχής.

Επιπλέον, η προστασία από κακόβουλο λογισμικό με υπογραφή κώδικα είναι εξαιρετικά δύσκολη. Η ενημέρωση της σουίτας του συστήματος και του προγράμματος προστασίας από ιούς είναι απαραίτητη, αποφύγετε να κάνετε κλικ σε άγνωστους συνδέσμους και ελέγξτε ξανά πού βρίσκεται κάποιος σύνδεσμος πριν τον ακολουθήσετε.

Εκτός από την ενημέρωση του προγράμματος προστασίας από ιούς, ελέγξτε τη λίστα των πώς μπορείτε να αποφύγετε κακόβουλο λογισμικό Το λογισμικό προστασίας από ιούς δεν είναι αρκετό: 5 πράγματα που πρέπει να κάνετε για να αποφύγετε κακόβουλο λογισμικόΠαραμείνετε ασφαλείς στο διαδίκτυο μετά την εγκατάσταση λογισμικού προστασίας από ιούς ακολουθώντας αυτά τα βήματα για ασφαλέστερο υπολογισμό. Διαβάστε περισσότερα !

Ο Gavin είναι ανώτερος συγγραφέας για το MUO. Είναι επίσης ο Επεξεργαστής και ο Διαχειριστής SEO για την αδελφή ιστοσελίδα του MakeUseOf, Blok Decoded. Έχει BA (Hons) Σύγχρονη γραφή με πρακτικές ψηφιακής τέχνης λεηλατημένη από τους λόφους του Devon, καθώς και πάνω από μια δεκαετία επαγγελματικής εμπειρίας γραφής. Απολαμβάνει άφθονο τσάι.