Operativsystemer og antivirus bliver mere præcise, når det kommer til at opdage alle former for trusler. Det er grunden til, at det bliver stadig sværere for hackere at unddrage sig disse sikkerhedssystemer, og de skal søge stadig mere komplekse teknikker for at undgå disse sikkerhedsforanstaltninger. Sådan har de været i nogen tid nu underskrive deres kode med digitale certifikater, der formår at springe alle disse tiltag over og er meget mere komplicerede at opdage. Sådan fungerer denne farlige malware-signeringsteknik.
Signeringskode er en legitim teknik, som udviklere har brugt i lang tid. For at gøre dette bruger de et digitalt certifikat, udstedt af en betroet certificeringsenhed, så både brugeren og antivirus- og operativsystemerne kan vide, at denne kode er ægte og ikke er blevet ændret.
I første omgang er det kun udviklere, der er godkendt af CA, der kan signere deres kode med deres eget digitale certifikat. Og ved at bruge avancerede kryptografiske teknikker kan disse certifikater ikke spoofes eller klones. Hackere har dog fundet en måde at gøre det på.
Hvordan malware signeres med et originalt certifikat
Generelt for at bekræfte, at en udvikler er legitim og virkelig tilhører en virksomhed, stiller certificeringsmyndigheden ret høje krav. Det kan hackere dog forfalske disse krav at efterligne en legitim organisation og få certifikatet til at signere deres stykker malware. Det er også muligt for hackere til at hacke sig ind i en virksomhed og stjæle dens certifikat . Hvis dette er gyldigt, har det en meget høj pris på det sorte marked.
Når hackere har underskrevet deres kode, Windows og antivirus sikkerhedsforanstaltninger er næsten altid besejret. Når vi kører det, stoler systemet som standard på denne kode, og i sidste ende ender det med at inficere systemet, uden at noget eller nogen kan gøre noget ved det.
To malware, der har gjort brug af denne teknik, er:
- Stuxnet: Denne malware brugte to digitale certifikater fra JMicron og Realtek til at gemme sig som driver og endda angribe (og ødelægge computermæssigt) et atomkraftværk.
- Flamme: Denne spyware udnyttede en kryptografisk fejl til at oprette sine egne certifikater. Hans mål var at spionere på dokumenter, ikke at gøre skade.
Desuden lykkedes det i 2018 en gruppe hackere selv at distribuere en opdatering til ASUS computere, der bruger et digitalt certifikat og inficerer en halv million maskiner med malware på få sekunder. Heldigvis var det et målrettet angreb, der forsøgte at inficere 600 meget specifikke computere, og virkningen var i sidste ende meget lille.
Hvordan beskytter jeg mig selv mod disse trusler?
Selvom dette er en meget farlig teknik (især for brugere), er den heldigvis ikke udbredt. At få et gyldigt certifikat bliver mere og mere kompliceret, da virksomheder i stigende grad er bedre beskyttet og dyrere, da de få, der findes, er højt værdsatte på de sorte markeder. Ydermere er gyldigheden af et certifikat, når det først er brugt til at underskrive en trussel, meget begrænset. Derfor er det kun meget specifik malware, der bruges til meget specifikke formål, der gør brug af denne teknik.
For at beskytte os selv må vi udføre den sædvanlige praksis. Og det vigtigste er, at vi udover sund fornuft sørger for at Hold Windows og antivirusprogrammet altid opdateret . På denne måde kan vi have en sortliste med de certifikater, der er blevet kompromitteret, og hvis en malware signeret med dem når vores pc, vil den ikke være i stand til at inficere os.