Gefälschte Zertifikate erhalten Sie aus einer Hand Ihre Malware-Signieranforderungen

Eine digitale Signatur, die von Malware verwendet wurde, die das Netzwerk von Kaspersky Lab im Jahr 2014 infiziert hat. Gefälschte Zertifikate, die solche betrügerischen Signaturen erzeugen, werden online verkauft, um sie für andere Malware zu verwenden.Eine digitale Signatur, die von Malware verwendet wird, die das Netzwerk von infiziert hat Kaspersky Lab im Jahr 2014. Gefälschte Zertifikate, die solche erzeugen betrügerische Unterschriften werden online verkauft, um sie für andere Zwecke zu verwenden Malware.Kaspersky Lab

Der Stuxnet-Wurm, der auf das iranische Atomprogramm abzielte, war fast ein Vor zehn Jahren war ein Wendepunkt für eine Vielzahl von Malware Gründe dafür. Chef unter ihnen ist die Verwendung von kryptografischen Zertifikaten Zugehörigkeit zu seriösen Unternehmen, die sich fälschlicherweise für das verbürgen Vertrauenswürdigkeit der Malware. Letztes Jahr haben wir das gelernt Betrügerisch signierte Malware war weiter verbreitet als zuvor glaubte. Am Donnerstag enthüllten Forscher einen möglichen Grund: U-Bahn-Dienste, die seit 2011 gefälschte Signaturen verkaufen Anmeldeinformationen, die für jeden Käufer eindeutig sind.

Weitere Lektüre

Code Signing im Stuxnet-Stil ist weit verbreiteter als man denkt In vielen Fällen sind die Zertifikate erforderlich, um Software zu installieren Windows- und MacOS-Computer verhindern die Betriebssysteme, während sie in anderen Fällen die Betriebssysteme verhindern von der Anzeige von Warnungen, dass die Software von einem nicht vertrauenswürdigen stammt Entwickler. Die Zertifikate erhöhen auch die Chancen, dass Antivirenprogramme kennzeichnen zuvor nicht angezeigte Dateien nicht als bösartig. Ein Bericht des Bedrohungsspezialisten Recorded Zukunft Englisch: www.germnews.de/archive/dn/1996/03/22.html Ab dem vergangenen Jahr sei bei den Forschern ein plötzlicher Anstieg zu verzeichnen gewesen betrügerische Zertifikate ausgestellt von Browser- und Betriebs Vom System vertrauenswürdige Anbieter, die zum Signieren von böswilligen Inhalten verwendet wurden Waren. Die Spitze trieb aufgenommene zukünftige Forscher an, um nachzuforschen die Ursache. Was sie fanden, war überraschend.

“Entgegen der weit verbreiteten Überzeugung, dass die Sicherheitszertifikate im kriminellen Untergrund zirkulierenden werden legitim gestohlen Wir haben bestätigt, dass die Eigentümer vor dem Einsatz in ruchlosen Kampagnen mit einem hohen Maß an Sicherheit, dass die Zertifikate erstellt werden für einen bestimmten Käufer nur auf Anfrage und werden mit registriert gestohlene Corporate Identities, wodurch traditionelle Netzwerksicherheit entsteht Geräte weniger effektiv “, Andrei Barysevich, ein Forscher an Recorded Future, berichtet.

Barysevich identifizierte vier solche Verkäufer von Fälschungen Zertifikate seit 2011. Zwei davon sind heute noch im Geschäft. Das Verkäufer boten eine Vielzahl von Optionen. Im Jahr 2014 rief ein Anbieter an selbst C @ T bewarb Zertifikate, die ein Microsoft verwendeten Technologie namens Authenticode zum Signieren von ausführbaren Dateien und Programmierskripte, mit denen Software installiert werden kann. C @ T angeboten Codesignatur-Zertifikate auch für macOS-Apps. Sein Honorar: nach oben von 1.000 USD pro Zertifikat.

“In seiner Werbung erklärte C @ T, dass die Zertifikate eingetragen unter rechtmäßigen Körperschaften und herausgegeben von Comodo, Thawte und Symantec – die größten und angesehensten Emittenten ” Donnerstag Bericht sagte. “Der Verkäufer gab an, dass jedes Zertifikat ist einzigartig und wird nur einem einzelnen Käufer zugeordnet, der dies könnte leicht über HerdProtect.com überprüft werden. Laut C @ T ist die Die Erfolgsrate von Nutzlastinstallationen aus signierten Dateien steigt um 30 bis 50 Prozent, und er gab sogar zu, über 60 zu verkaufen Zertifikate in weniger als sechs Monaten. ”

Das Geschäft von C @ T ging in den kommenden Jahren als anderer Anbieter zurück unterbieten seine Preise. Ein konkurrierender Dienst lieferte alles Nötige Code-Signatur-Zertifikat für 299 US-Dollar. Für 1.599 US-Dollar verkaufte der Service ein Signaturzertifikat mit erweiterter Validierung – das heißt, es wurde ausgestellt auf einen Firmen- oder Firmennamen, der von der Aussteller. Dieser Prämienpreis stellte auch sicher, dass die Bescheinigung bestanden wurde SmartScreen-Validierungsprüfung, um verschiedene Microsoft-Software durchzuführen Benutzer vor böswilligen Apps schützen. Ein Paket von voll Authentifizierte Internetdomains mit EV SSL-Verschlüsselung und Code Signierfunktionen können auch für 1.799 USD erworben werden. Das Gleiche Service verkauft erweiterte Validierung TLS-Zertifikate für Websites ab 349 US-Dollar. Ein anderer C @ T-Wettbewerber wurde hochgradig geprüft verkauft Class 3-Zertifikate für 600 US-Dollar.

VergrößernAufgezeichnet Future

“Nach den Angaben beider Verkäufer während eines Privatgespräch, um die Erteilung und Lebensdauer der zu gewährleisten Produkte werden alle Zertifikate mit den Informationen von registriert echte Unternehmen “, schrieb Barysevich.” Mit einem hohen Grad an Vertrauen, wir glauben, dass die legitimen Unternehmer sind nicht bewusst, dass ihre Daten in den illegalen Aktivitäten verwendet wurden. Es ist Es ist wichtig zu beachten, dass alle Zertifikate für jeden Käufer erstellt werden einzeln mit einer durchschnittlichen Lieferzeit von zwei bis vier Tage.”

Verwendung legitimer Signaturzertifikate zur Überprüfung bösartiger Apps und legitime TLS-Zertifikate zur Authentifizierung von Domainnamen, die Durch das Verteilen dieser Apps wird der Sicherheitsschutz verringert Wirksam. Aufgezeichnete zukünftige Forscher stellten einem Verkäufer ein nicht gemeldete Remote-Access-Trojaner und überzeugte den Verkäufer, es zu unterschreiben mit einem kürzlich von Comodo ausgestellten Zertifikat. Nur Acht der führenden AV – Anbieter haben eine verschlüsselte Version von erkannt Trojaner. Nur zwei AV-Engines haben die gleiche verschlüsselte Datei erkannt, wenn es wurde von der Comodo-Bescheinigung unterzeichnet.

“Weitere störende Ergebnisse tauchten nach dem gleichen Test auf für eine nicht ansässige Version der Nutzlast durchgeführt “, Barysevich berichtet. “In diesem Fall waren nur sechs Unternehmen dazu in der Lage Erkennung einer verschlüsselten Version und nur Endgame-Schutz hat die Datei als bösartig erkannt. ”

Während der Bericht vom Donnerstag zeigt, wie einfach es ist, viele von ihnen zu umgehen der Schutz durch Code-Signatur-Anforderungen, Barysevich sagte, dass gefälschte Zertifikate wahrscheinlich nur in verwendet werden Nischenkampagnen, die auf eine kleine Anzahl von Personen abzielen, oder Organisationen.

Msgstr “Obwohl Codesignaturzertifikate effektiv verwendet werden können in weit verbreitete Malware-Kampagnen wie die Verteilung von Bankgeschäften Trojaner oder Ransomware, die Gültigkeit des zum Signieren verwendeten Zertifikats Eine Nutzlast würde ziemlich schnell ungültig werden “, erklärte er. “Daher glauben wir, dass die Anzahl der Power-User begrenzt ist Spezialisiert auf anspruchsvollere und gezieltere Kampagnen wie Unternehmensspionage ist der Hauptantrieb hinter dem neuen Bedienung.”

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: