Mis on koodiallkirjastatud õelvara ja kuidas seda vältida?

Reklaam

Koodiallkirjastamine on tava krüptograafiliselt allkirjastada tarkvara, et opsüsteem ja selle kasutajad saaksid kontrollida, kas see on ohutu. Koodiallkirjastamine töötab üldiselt hästi. Enamasti kasutab ainult õige tarkvara oma vastavat krüptograafilist allkirja.

Kasutajad saavad ohutult alla laadida ja installida ning arendajad kaitsevad oma toote mainet. Häkkerid ja pahavara levitajad kasutavad seda täpset süsteemi, et aidata pahatahtlikul koodil libiseda viirusetõrjekomplektidest ja muudest turvaprogrammidest.

Kuidas toimib koodiallkirjastatud pahavara ja lunavara?

Mis on koodiallkirjastatud õelvara?

Kui tarkvara on allkirjastatud koodiga, tähendab see, et tarkvara kannab ametlikku krüptograafilist allkirja. Sertifitseerimisasutus (CA) väljastab tarkvarale sertifikaadi, mis kinnitab, et tarkvara on seaduslik ja ohutu kasutada.

Veelgi parem, teie opsüsteem hoolitseb sertifikaatide, koodide kontrollimise ja kinnitamise eest, nii et te ei pea muretsema. Näiteks kasutab Windows seda, mida nimetatakse

sertifikaatide kett. Sertifikaatide ahel koosneb kõigist sertifikaatidest, mis on vajalikud tarkvara õigsuse tagamiseks igal sammul.

„Sertifikaatide ahel koosneb kõigist sertifikaatidest, mis on vajalikud lõppsertifikaadiga tuvastatud subjekti kinnitamiseks. Praktikas hõlmab see lõppsertifikaati, vahepealsete CA-de sertifikaate ja juur-CA sertifikaati, mida kõik ahela osapooled usaldavad. Igal ahela vaheasutusel oleval CA-l on sertifikaat, mille CA on välja andnud ühel tasemel usaldushierarhias kõrgemal. Juur-CA väljastab enda jaoks sertifikaadi. ”

Kui süsteem töötab, võite tarkvara usaldada. CA ja koodide allkirjastamise süsteem nõuavad tohutut usaldust. Laiendusena on pahavara pahatahtlik, ebausaldusväärne ja sellel ei tohiks olla juurdepääsu sertifikaadiasutusele ega koodi allkirjastamist. Õnneks see süsteem praktikas just nii töötab.

Kuni pahavara arendajad ja häkkerid muidugi selle ümber leiavad.

Häkkerid varastavad sertifikaadiasutuste sertifikaate

Teie viirusetõrje teab, et pahavara on pahatahtlik, kuna sellel on teie süsteemile negatiivne mõju. See käivitab hoiatusi, kasutajad teatavad probleemidest ja viirusetõrje võib luua sama viirusetõrje tööriista abil teiste arvutite kaitsmiseks pahavara allkirja.

Kuid kui pahavara arendajad saavad oma pahatahtliku koodi allkirjastada ametliku krüptograafilise allkirja abil, siis seda ei juhtu. Selle asemel kõnnib koodiallkirjastatud pahavara välisuksest, kui teie viirusetõrje ja opsüsteem veeretavad punase vaiba.

Trendi mikrouuringud leidis, et on olemas terve pahavara turg, mis toetab koodiallkirjastatud pahavara arendamist ja levitamist. Pahavara operaatoritel on juurdepääs kehtivatele sertifikaatidele, mida nad kasutavad pahatahtliku koodi allkirjastamiseks. Järgmises tabelis on toodud viirusetõrje vältimiseks koodiallkirjastamise abil pahavara maht alates 2018. aasta aprillist.

Trendi mikrouuringute käigus leiti, et umbes 66 protsenti valimisse võetud pahavarast oli allkirjastatud koodiga. Lisaks on teatud pahavara tüüpidel rohkem koodiallkirjastamise eksemplare, näiteks troojalased, tilgutid ja lunavara. (Siin on seitse viisi lunavara rünnaku vältimiseks 7 viisi Ransomware'i sattumise vältimiseksRansomware võib sõna otseses mõttes teie elu rikkuda. Kas teete piisavalt, et vältida oma isikuandmete ja fotode kaotamist digitaalse väljapressimise jaoks? Loe rohkem !)

Kust pärinevad koodiallkirjastamise sertifikaadid?

Pahavara levitajatel ja arendajatel on ametlikult allkirjastatud koodi osas kaks võimalust. Sertifikaadid varastatakse sertifikaatide asutuselt (otse või edasimüügiks) või häkker võib proovida jäljendada seaduslikku organisatsiooni ja võltsida nende nõudeid.

Nagu arvata võiks, on sertifikaatide haldur mis tahes häkkerite jaoks ahistav eesmärk.

See ei ole ainult häkkerid, kes õhutavad koodiga allkirjastatud pahavara kasvu. Väidetavalt hoolimatutele müüjatele, kellel on juurdepääs seaduslikele sertifikaatidele, müüakse usaldusväärseid koodiallkirjastamise sertifikaate ka pahavara arendajatele ja levitajatele. Tšehhi Vabariigi Masaryki ülikooli ja Marylandi küberjulgeoleku keskuse (MCC) turvateadlaste meeskond avastas neli müüvat organisatsiooni [PDF] Microsoft Authenticode sertifikaadid anonüümsetele ostjatele.

"Windowsi koodiallkirjastamise sertifikaadi ökosüsteemi hiljutised mõõtmised on esile toonud mitmesugused kuritarvituste vormid, mis võimaldavad pahavara autoritel toota pahatahtlikku koodi, millel on kehtivad digitaalallkirjad."

Kui pahavara arendajal on Microsofti Authenticode sertifikaat, saavad nad alla kirjutada mis tahes õelvara, üritades eitada Windowsi turvakoodide allkirjastamist ja sertifikaadipõhist kaitset.

Muudel juhtudel kahjustab häkker sertifikaatide varastamise asemel tarkvara loomise serverit. Kui uus tarkvaraversioon avalikustatakse, on sellel seaduslik sertifikaat. Kuid häkker võib protsessi lisada ka nende pahatahtliku koodi. Hiljutist seda tüüpi rünnaku näidet saate lugeda allpool.

3 Näiteid koodiga allkirjastatud pahavarast

Kuidas näeb välja koodiallkirjastatud pahavara? Siin on kolm koodiallkirjastatud pahavara näidet:

1. Stuxneti pahavara. Iraani tuumaprogrammi hävitamise eest vastutav pahavara kasutas levitamiseks kaht varastatud sertifikaati koos nelja erineva nullpäeva ekspluateerimisega. Sertifikaadid varastati kahelt eraldi ettevõttelt - JMicron ja Realtek -, mis jagasid ühte hoonet. Stuxnet kasutas varastatud sertifikaate, et vältida toona värskelt kasutusele võetud Windowsi nõuet, et kõik draiverid nõuavad kinnitamist (draiveri allkirjastamine).
2. Asuse serveri rikkumine. Millalgi 2018. aasta juunis ja novembris rikkusid häkkerid Asuse serverit, mida ettevõte kasutab tarkvarauuenduste kasutajatele edastamiseks. Kaspersky Labi teadlased leidis selle ümber Enne, kui keegi aru sai, sai pahatahtliku värskenduse 500 000 Windowsi masinat. Sertifikaatide varastamise asemel allkirjastasid häkkerid oma pahavara õigustatud Asuse digitaalsete sertifikaatidega enne, kui tarkvaraserver süsteemivärskenduse levitas. Õnneks oli pahavara väga sihitud ja kõvasti kodeeritud, et otsida 600 konkreetset masinat.
3. Leegi pahavara. Flame modulaarse pahavara variant on suunatud Lähis-Ida riikidesse, kasutades tuvastamise vältimiseks petlikult allkirjastatud sertifikaate. (Mis on modulaarne pahavara Modulaarne õelvara: teie andmete varastamine on uus salakaval rünnakPahavara on muutunud raskemini tuvastatavaks. Mis on modulaarne õelvara ja kuidas peatada see teie arvutis laastavalt? Loe rohkem ?) Leegi arendajad kasutasid koodi allkirjastamise sertifikaatide ekslikuks allkirjastamiseks nõrka krüptograafilist algoritmi, muutes paika, nagu oleks Microsoft need alla kirjutanud. Erinevalt Stuxnetist, mis kandis hävitavat elementi, on Flame spionaaži tööriist, mis otsib PDF-e, AutoCAD-faile, tekstifaile ja muid olulisi tööstusdokumentide tüüpe.

Kuidas vältida koodiallkirjastatud õelvara

Kolm erinevat pahavara varianti, kolm erinevat tüüpi koodide allkirjastamise rünnakut. Hea uudis on see, et enamik seda tüüpi õelvara on vähemalt praegusel ajal väga sihitud.

Kahepoolne külg on selliste pahavaravariantide edukuse tõttu, mille vältimiseks kasutatakse koodiallkirjastamist tuvastamisel oodake, et rohkem pahavara arendajaid kasutaksid seda tehnikat, et veenduda oma rünnakutes edukas.

Lisaks sellele on kood-allkirjastatud pahavara eest kaitsmine äärmiselt keeruline. Oma süsteemi ja viirusetõrjekomplekti ajakohastamine on hädavajalik, vältige tundmatutele linkidele klõpsamist ja kontrollige enne selle jälgimist, kuhu mõni link teid viib.

Muud kui oma viirusetõrje värskendamine, vaadake meie loendit kuidas õelvara vältida Viirusetõrjetarkvara pole piisavalt: 5 asja, mida peate pahavara vältimiseks tegemaPärast viirusetõrjetarkvara installimist püsige võrgus turvalisena ja järgige neid turvalisema arvutamise tagamiseks järgmisi samme. Loe rohkem !