Специалисти се натъкнаха на зловредни програми с валидни Windows сертификати
Изследователи от университета Масарик, Чехия и специалисти от Центъра за киберсигурност на Мериленд (Maryland Cybersecurity Center, MCC) са открили и провели наблюдение над няколко организации, които са се занимавали с продажбата на Microsoft Authenticode сертификати на анонимни купувачи. Освен това, те са и събрали сериозно количество зловредни програми, подписани с валиден сертификат на Microsoft.
„Скорошните наблюдения над екосистемата на подписания сертификационен код за Windows очертават различни форми на злоупотреба, която позволява на авторите на зловредни програми да възпроизвеждат зловреден код, носещ валидни цифрови сигнатури“, обобщават авторите на представения наскоро доклад от тяхна страна. Освен това, изследователите са открили и няколко потенциално нежелани програми, носещи валиден сертификат, както и това, че престъпниците са намерили начин да контролират набор от Authenticode сертификати. Authenticode технологията на Microsoft помага на браузърите на компанията да направят проверка на валидността на даден файл и код, който бива свалян през тях и степента на доверие, които може да има потребителя към тях.
„Ако атакуващата страна може да използва доверен цифров сертификат, за да инсталира зловреден код, то тогава тази зловредна програма ще използва дадените на потребителя права за достъп или правата за достъп, оставени във формата на NTLM хешови стойности, за да си пробие път нататък в мрежата“, обяснява Гейбриъл Гъмбс от STEALTHbits Technologies пред Infosecurity Magazine. Той допълва също така че нещата няма да изглеждат толкова опасни, ако преди това са наложени правила за делегиране на ограничен достъп. Според колегата му Джонатан Сандър, престъпниците в Интернет днес изглеждат фокусиране над техническата страна на измамата, но в действителност те се движат от работещи бизнес модели и просто търсят възвръщане на инвестицията, като знаят, че за да получиш трябва да дадеш. Те ясно осъзнават, че парите, които дават за откраднатия сертификат ще се възвърнат неколкократно, а зловредната им програма, прикрита благодарение на сертификата като легитимна, ще успее да подлъже повечето инструменти за защита, които се използват днес.
Откритията на специалистите бяха представени на форума Workshop on the Economics of Information Security (WEIS), провел се по-рано този месец.
Пълният текст на доклада и разкритията в него, може да откриете тук (pdf).