Door code ondertekende malware is een nieuwe bedreiging voor computergebruikers.  Hoe kunt u uw pc en gegevens beschermen tegen door malware ondertekende malware?

Wat is door code ondertekende malware en hoe vermijd je het?

Advertentie Code ondertekenen is de praktijk waarbij een stuk software cryptografisch wordt ondertekend, zodat het besturingssysteem en de gebruikers kunnen controleren of het veilig is. Code-ondertekening werkt over het algemeen goed. Meestal gebruikt alleen de juiste software de bijbehorende cryptografische handtekening

Advertentie

Code ondertekenen is de praktijk waarbij een stuk software cryptografisch wordt ondertekend, zodat het besturingssysteem en de gebruikers kunnen controleren of het veilig is. Code-ondertekening werkt over het algemeen goed. Meestal gebruikt alleen de juiste software de bijbehorende cryptografische handtekening.

Gebruikers kunnen veilig downloaden en installeren en ontwikkelaars beschermen de reputatie van hun product. Hackers en malware-distributeurs gebruiken echter dat exacte systeem om kwaadaardige code langs antivirussuites en andere beveiligingsprogramma's te laten glippen.

Hoe werken met code ondertekende malware en ransomware?

Wat is code-ondertekende malware?

Wanneer software met code is ondertekend, betekent dit dat de software een officiële cryptografische handtekening heeft. Een certificaatautoriteit (CA) geeft de software een certificaat uit dat bevestigt dat de software legitiem en veilig te gebruiken is.

Beter nog, uw besturingssysteem zorgt voor de certificaten, codecontrole en verificatie, zodat u zich geen zorgen hoeft te maken. Windows gebruikt bijvoorbeeld een zogenaamde certificaatketen. De certificaatketen bestaat uit alle certificaten die nodig zijn om ervoor te zorgen dat de software bij elke stap legitiem is.

“Een certificaatketen bestaat uit alle certificaten die nodig zijn om het door het eindcertificaat geïdentificeerde onderwerp te certificeren. In de praktijk omvat dit het eindcertificaat, de certificaten van tussenliggende CA's en het certificaat van een basis-CA die door alle partijen in de keten wordt vertrouwd. Elke tussenliggende CA in de keten heeft een certificaat uitgegeven door de CA, één niveau erboven in de vertrouwenshiërarchie. De root CA geeft zelf een certificaat uit. "

Wanneer het systeem werkt, kunt u software vertrouwen. Het CA- en code-ondertekeningssysteem vereist enorm veel vertrouwen. In het verlengde daarvan is malware kwaadaardig, onbetrouwbaar en mag het geen toegang hebben tot een certificaatautoriteit of code ondertekenen. Gelukkig, in de praktijk, is dat hoe het systeem werkt.

Totdat malware-ontwikkelaars en hackers er natuurlijk een oplossing voor vinden.

Hackers stelen certificaten van certificaatautoriteiten

Uw antivirus weet dat malware schadelijk is omdat het een negatief effect op uw systeem heeft. Het activeert waarschuwingen, gebruikers melden problemen en de antivirus kan een malwarehandtekening maken om andere computers te beschermen met hetzelfde antivirusprogramma.

Als de malware-ontwikkelaars hun kwaadaardige code echter kunnen ondertekenen met een officiële cryptografische handtekening, gebeurt er niets. In plaats daarvan loopt de code-ondertekende malware door de voordeur terwijl uw antivirus en het besturingssysteem de rode loper uitrollen.

Uit onderzoek van Trend Micro is gebleken dat er een volledige malwaremarkt is die de ontwikkeling en distributie van met code ondertekende malware ondersteunt. Malware-exploitanten krijgen toegang tot geldige certificaten die zij gebruiken om kwaadaardige code te ondertekenen. De volgende tabel toont het volume malware met code-ondertekening om antivirus te ontwijken, vanaf april 2018.

tabel met trend micro-code ondertekend malware

Uit het Trend Micro-onderzoek bleek dat ongeveer 66 procent van de bemonsterde malware met een code was ondertekend. Bovendien worden bepaalde malwaretypes geleverd met meer instanties voor het ondertekenen van codes, zoals Trojaanse paarden, droppers en ransomware. (Hier zijn zeven manieren om een ​​ransomware-aanval te voorkomen. 7 manieren om te voorkomen dat je wordt geraakt door Ransomware. 7 manieren om te worden geraakt door Ransomware. Ransomware kan je leven letterlijk verpesten. Meer !)

Waar komen certificaten voor het ondertekenen van codes vandaan?

Malware-distributeurs en ontwikkelaars hebben twee opties met betrekking tot officieel ondertekende code. Certificaten worden gestolen van een certificeringsinstantie (rechtstreeks of voor wederverkoop) of een hacker kan proberen een legitieme organisatie na te bootsen en aan hun eisen te voldoen.

Zoals je zou verwachten, is een certificaatautoriteit een verleidelijk doelwit voor elke hacker.

Het zijn niet alleen hackers die de toename van door code ondertekende malware voeden. Vermeende gewetenloze verkopers met toegang tot legitieme certificaten verkopen vertrouwde codes voor het ondertekenen van codes ook aan ontwikkelaars en distributeurs van malware. Een team van beveiligingsonderzoekers van Masaryk University in Tsjechië en Maryland Cybersecurity Center (MCC) ontdekte vier organisaties die [PDF] Microsoft Authenticode-certificaten verkopen aan anonieme kopers.

"Recente metingen van het ecosysteem van het Windows-code-ondertekeningscertificaat hebben verschillende vormen van misbruik aan het licht gebracht waarmee malware-auteurs schadelijke code kunnen produceren met geldige digitale handtekeningen."

Zodra een malware-ontwikkelaar een Microsoft Authenticode-certificaat heeft, kunnen ze alle malware ondertekenen in een poging om Windows-veiligheidscode-ondertekening en op certificaten gebaseerde verdediging te ontkennen.

In andere gevallen zal een hacker in plaats van de certificaten te stelen, een software-buildserver compromitteren. Wanneer een nieuwe softwareversie voor het publiek wordt vrijgegeven, heeft deze een legitiem certificaat. Maar een hacker kan ook zijn schadelijke code in het proces opnemen. Je kunt hieronder lezen over een recent voorbeeld van dit soort aanvallen.

3 voorbeelden van door code ondertekende malware

Dus, hoe ziet code-ondertekende malware eruit? Hier zijn drie code-ondertekende malware-voorbeelden:

  1. Stuxnet-malware . De malware die verantwoordelijk was voor het vernietigen van het Iraanse nucleaire programma gebruikte twee gestolen certificaten om te verspreiden, samen met vier verschillende zero-day exploits. De certificaten werden gestolen van twee afzonderlijke bedrijven - JMicron en Realtek - die een enkel gebouw deelden. Stuxnet gebruikte de gestolen certificaten om de toen pas geïntroduceerde Windows-vereiste te vermijden dat alle stuurprogramma's verificatie nodig hadden (ondertekening van het stuurprogramma).
  2. Asus serverbreuk . Ergens tussen juni en november 2018 hebben hackers inbreuk gemaakt op een Asus-server die het bedrijf gebruikt om software-updates naar gebruikers te pushen. Onderzoekers van Kaspersky Lab ontdekten dat ongeveer 500.000 Windows-machines de schadelijke update ontvingen voordat iemand het besefte. In plaats van de certificaten te stelen, ondertekenden de hackers hun malware met legitieme digitale Asus-certificaten voordat de softwareserver de systeemupdate verspreidde. Gelukkig was de malware zeer gericht, hard gecodeerd om te zoeken naar 600 specifieke machines.
  3. Vlam malware . De modulaire malwarevariant Flame richt zich op landen in het Midden-Oosten en gebruikt frauduleus ondertekende certificaten om detectie te voorkomen. (Wat is modulaire malware eigenlijk? Modulaire malware: de nieuwe stealthy-aanval Uw gegevens stelen Modulaire malware: de nieuwe stealthy-aanval Het stelen van uw gegevensmalware is moeilijker te detecteren. Wat is modulaire malware en hoe u kunt voorkomen dat het schade aanricht op uw pc ? Lees meer?) De Flame-ontwikkelaars maakten gebruik van een zwak cryptografisch algoritme om de codes voor het ondertekenen van codes vals te ondertekenen, waardoor het leek alsof Microsoft ze had ondertekend. In tegenstelling tot Stuxnet dat een destructief element droeg, is Flame een hulpmiddel voor spionage, op zoek naar PDF's, AutoCAD-bestanden, tekstbestanden en andere belangrijke industriële documenttypen.

Hoe door code ondertekende malware te vermijden

Drie verschillende malwarevarianten, drie verschillende soorten codetekenaanvallen. Het goede nieuws is dat de meeste malware van dit type, althans op dit moment, zeer doelgericht is.

De keerzijde is dat vanwege het succespercentage van dergelijke malwarevarianten die code-signing gebruiken om detectie te voorkomen, verwachten dat meer malware-ontwikkelaars de techniek gebruiken om ervoor te zorgen dat hun eigen aanvallen succesvol zijn.

Daarnaast is bescherming tegen code-ondertekende malware uiterst moeilijk. Het is van essentieel belang om uw systeem en antivirussuite up-to-date te houden, vermijd klikken op onbekende links en controleer nogmaals waar een link u naartoe brengt voordat u deze volgt.

Behalve het bijwerken van uw antivirus, bekijkt u onze lijst met hoe u malware kunt voorkomen Antivirussoftware is niet genoeg: 5 dingen die u moet doen om malware te voorkomen Antivirussoftware is niet genoeg: 5 dingen die u moet doen om malware te vermijden Blijf veilig en beveiligd online na het installeren van antivirussoftware door deze stappen te volgen voor veiliger computergebruik. Lees verder !

Ontdek meer over: Malware, online beveiliging, beveiligingscertificaat.