Advertentie

Codeondertekening is de praktijk van het cryptografisch ondertekenen van een stuk software, zodat het besturingssysteem en zijn gebruikers kunnen verifiëren dat het veilig is. Codeondertekening werkt over het algemeen goed. Het merendeel van de tijd gebruikt alleen de juiste software de bijbehorende cryptografische handtekening.

Gebruikers kunnen veilig downloaden en installeren en ontwikkelaars beschermen de reputatie van hun product. Hackers en distributeurs van malware gebruiken dat exacte systeem echter om schadelijke code te helpen voorbij antivirussuites en andere beveiligingsprogramma's te glippen.

Hoe werken code-ondertekende malware en ransomware?

Wat is code-ondertekende malware?

Wanneer software met een code is ondertekend, betekent dit dat de software een officiële cryptografische handtekening heeft. Een certificeringsinstantie (CA) geeft de software een certificaat af dat bevestigt dat de software legitiem en veilig in gebruik is.

Sterker nog, uw besturingssysteem zorgt voor de certificaten, codecontrole en verificatie, dus u hoeft zich geen zorgen te maken. Windows gebruikt bijvoorbeeld wat bekend staat als

instagram viewer
een certificaatketen. De certificaatketen bestaat uit alle certificaten die nodig zijn om ervoor te zorgen dat de software bij elke stap legitiem is.

“Een certificaatketen bestaat uit alle certificaten die nodig zijn om het onderwerp dat wordt geïdentificeerd door het eindcertificaat te certificeren. In de praktijk omvat dit het eindcertificaat, de certificaten van tussenliggende CA's en het certificaat van een root-CA die door alle partijen in de keten wordt vertrouwd. Elke tussenliggende CA in de keten heeft een certificaat dat door de CA een niveau hoger in de vertrouwenshiërarchie is afgegeven. De root-CA geeft zelf een certificaat af. '

Als het systeem werkt, kunt u software vertrouwen. Het systeem van CA en codeondertekening vereist enorm veel vertrouwen. Bij uitbreiding is malware schadelijk, onbetrouwbaar en mag deze geen toegang hebben tot een certificeringsinstantie of codeondertekening. Gelukkig werkt het systeem in de praktijk zo.

Tot malwareontwikkelaars en hackers er natuurlijk een weg omheen vinden.

Hackers stelen certificaten van certificaatautoriteiten

Uw antivirusprogramma weet dat malware schadelijk is omdat het een negatief effect heeft op uw systeem. Het activeert waarschuwingen, gebruikers melden problemen en de antivirus kan een malware-handtekening maken om andere computers te beschermen met dezelfde antivirustool.

Als de malwareontwikkelaars hun schadelijke code echter kunnen ondertekenen met een officiële cryptografische handtekening, gebeurt dat allemaal niet. In plaats daarvan loopt de met code ondertekende malware door de voordeur terwijl uw antivirusprogramma en het besturingssysteem de rode loper uitrollen.

Trend Micro-onderzoek ontdekte dat er een hele malwaremarkt is die de ontwikkeling en distributie van met code ondertekende malware ondersteunt. Malware-operators krijgen toegang tot geldige certificaten die ze gebruiken om kwaadaardige code te ondertekenen. De volgende tabel toont het volume van malware met codeondertekening om antivirus te vermijden, vanaf april 2018.

trend micro-code ondertekend malware type tabel

Uit het Trend Micro-onderzoek bleek dat ongeveer 66 procent van de bemonsterde malware met een code was ondertekend. Bovendien worden bepaalde malwaretypen geleverd met meer instanties voor het ondertekenen van code, zoals Trojaanse paarden, droppers en ransomware. (Hier zijn zeven manieren om een ​​ransomware-aanval te voorkomen 7 manieren om te voorkomen dat u door ransomware wordt geraaktRansomware kan je leven letterlijk verpesten. Doet u genoeg om te voorkomen dat uw persoonlijke gegevens en foto's verloren gaan door digitale afpersing? Lees verder !)

Waar komen certificaten voor codeondertekening vandaan?

Malwaredistributeurs en ontwikkelaars hebben twee opties met betrekking tot officieel ondertekende code. Certificaten worden ofwel gestolen van een certificeringsinstantie (rechtstreeks of voor wederverkoop), of een hacker kan proberen een legitieme organisatie na te bootsen en hun vereisten te vervalsen.

Zoals je zou verwachten, is een certificeringsinstantie een prikkelend doelwit voor elke hacker.

Het zijn niet alleen hackers die de opkomst van door code ondertekende malware stimuleren. Naar verluidt gewetenloze leveranciers met toegang tot legitieme certificaten verkopen ook vertrouwde certificaten voor codeondertekening aan malware-ontwikkelaars en -distributeurs. Een team van beveiligingsonderzoekers van de Masaryk-universiteit in Tsjechië en het Maryland Cybersecurity Center (MCC) ontdekten vier organisaties die verkopen [PDF] Microsoft Authenticode-certificaten voor anonieme kopers.

"Recente metingen van het Windows-ecosysteem voor codeondertekeningcertificaten hebben verschillende vormen van misbruik aan het licht gebracht waarmee malwareschrijvers kwaadaardige code kunnen produceren met geldige digitale handtekeningen."

Zodra een malwareontwikkelaar een Microsoft Authenticode-certificaat heeft, kan hij alle malware ondertekenen in een poging Windows-ondertekening van beveiligingscodes en op certificaten gebaseerde verdediging te negeren.

In andere gevallen, in plaats van de certificaten te stelen, zal een hacker een software-build-server in gevaar brengen. Wanneer een nieuwe softwareversie voor het publiek wordt vrijgegeven, heeft deze een legitiem certificaat. Maar een hacker kan ook zijn schadelijke code in het proces opnemen. Hieronder leest u een recent voorbeeld van dit type aanval.

3 Voorbeelden van code-ondertekende malware

Dus, hoe ziet code-ondertekende malware eruit? Hier zijn drie voorbeelden van door malware ondertekende code:

  1. Stuxnet-malware. De malware die verantwoordelijk was voor de vernietiging van het Iraanse nucleaire programma gebruikte twee gestolen certificaten om te verspreiden, samen met vier verschillende zero-day exploits. De certificaten zijn gestolen van twee afzonderlijke bedrijven - JMicron en Realtek - die één gebouw deelden. Stuxnet gebruikte de gestolen certificaten om de toen nieuw geïntroduceerde Windows-vereiste te vermijden dat alle stuurprogramma's verificatie (stuurprogramma-ondertekening) vereisten.
  2. Asus-serverlek. Ergens tussen juni en november 2018 hebben hackers inbreuk gemaakt op een Asus-server die het bedrijf gebruikt om software-updates naar gebruikers te pushen. Onderzoekers van Kaspersky Lab vond dat rond 500.000 Windows-machines ontvingen de kwaadaardige update voordat iemand het besefte. In plaats van de certificaten te stelen, ondertekenden de hackers hun malware met legitieme digitale Asus-certificaten voordat de softwareserver de systeemupdate verspreidde. Gelukkig was de malware zeer gericht en hard gecodeerd om naar 600 specifieke machines te zoeken.
  3. Vlam malware. De modulaire malwarevariant Flame is gericht op landen in het Midden-Oosten en gebruikt frauduleus ondertekende certificaten om detectie te voorkomen. (Wat is modulaire malware eigenlijk? Modulaire malware: de nieuwe heimelijke aanval die uw gegevens steeltMalware is moeilijker te detecteren. Wat is modulaire malware en hoe kunt u voorkomen dat dit grote schade aanricht op uw pc? Lees verder ?) De Flame-ontwikkelaars maakten gebruik van een zwak cryptografisch algoritme om de certificaten voor codeondertekening vals te ondertekenen, waardoor het leek alsof Microsoft ze had afgetekend. In tegenstelling tot Stuxnet dat een destructief element droeg, is Flame een hulpmiddel voor spionage, het zoeken naar PDF's, AutoCAD-bestanden, tekstbestanden en andere belangrijke industriële documenttypes.

Hoe code-ondertekende malware te vermijden

Drie verschillende malwarevarianten, drie verschillende soorten codeondertekeningsaanvallen. Het goede nieuws is dat de meeste malware van dit type, in ieder geval op dit moment, zeer gericht is.

De keerzijde is dat vanwege het slagingspercentage van dergelijke malwarevarianten die codeondertekening gebruiken om te vermijden detectie, verwacht dat meer malware-ontwikkelaars de techniek zullen gebruiken om ervoor te zorgen dat hun eigen aanvallen zijn succesvol.

Daarnaast is het buitengewoon moeilijk om u te beschermen tegen door malware ondertekende code. Het up-to-date houden van uw systeem en antivirussuite is essentieel, vermijd het klikken op onbekende links en controleer nogmaals waar een link u naartoe brengt voordat u deze volgt.

Afgezien van het bijwerken van uw antivirusprogramma, bekijkt u onze lijst met hoe u malware kunt vermijden Antivirussoftware is niet genoeg: 5 dingen die u moet doen om malware te vermijdenBlijf veilig online na het installeren van antivirussoftware door deze stappen te volgen voor veiliger computergebruik. Lees verder !

Gavin is Senior Writer voor MUO. Hij is ook de redacteur en SEO-manager voor MakeUseOf's crypto-gerichte zustersite, Blocks Decoded. Hij heeft een BA (Hons) Contemporary Writing with Digital Art Practices geplunderd uit de heuvels van Devon, evenals meer dan een decennium aan professionele schrijfervaring. Hij houdt van veel thee.