Operativsystem och antivirus blir mer exakta när det gäller att upptäcka alla typer av hot. Det är därför det blir allt svårare för hackare att undvika dessa säkerhetssystem, och de måste söka alltmer komplexa tekniker för att undvika dessa säkerhetsåtgärder. Så här har de varit sedan en tid tillbaka underteckna sin kod med digitala certifikat som lyckas hoppa över alla dessa åtgärder och är mycket mer komplicerade att upptäcka. Så här fungerar den här farliga signeringstekniken för skadlig programvara.
Signeringskod är en legitim teknik som utvecklare har använt under lång tid. För att göra detta använder de ett digitalt certifikat, utfärdat av en betrodd certifieringsenhet, så att både användaren och antivirus- och operativsystemen kan veta att den här koden är äkta och inte har modifierats.
Till en början är det bara utvecklare som är autentiserade av CA som kan signera sin kod med sitt eget digitala certifikat. Och genom att använda avancerade kryptografiska tekniker kan dessa certifikat inte förfalskas eller klonas. Hackare har dock hittat ett sätt att göra det.
Hur skadlig programvara signeras med ett originalcertifikat
I allmänhet, för att intyga att en utvecklare är legitim och verkligen tillhör ett företag, har certifieringsmyndigheten ganska höga krav. Det kan dock hackare förfalska dessa krav att utge sig för att vara en legitim organisation och få certifikatet för att signera sina delar av skadlig programvara. Det är också möjligt för hackare att hacka sig in på ett företag och stjäla dess certifikat . Om detta är giltigt har det ett mycket högt pris på den svarta marknaden.
När hackare har signerat sin kod, Windows och antivirussäkerhetsåtgärder är nästan alltid besegrade. När vi kör det litar systemet på den här koden som standard och i slutändan infekterar det systemet utan att någonting eller någon kan göra något åt det.
Två skadliga program som har använt sig av denna teknik är:
- Stuxnet: Denna skadliga programvara använde två digitala certifikat från JMicron och Realtek för att gömma sig som en drivrutin och till och med attackera (och förstöra, datormässigt) ett kärnkraftverk.
- Flamma: Detta spionprogram utnyttjade ett kryptografiskt fel för att skapa sina egna certifikat. Hans mål var att spionera på dokument, inte att skada.
Dessutom, under 2018, lyckades en grupp hackare till och med distribuera en uppdatering för ASUS datorer som använder ett digitalt certifikat och infekterar en halv miljon maskiner med skadlig programvara på några sekunder. Lyckligtvis var det en riktad attack som försökte infektera 600 mycket specifika datorer, och effekten var i slutändan mycket liten.
Hur skyddar jag mig från dessa hot?
Även om detta är en mycket farlig teknik (särskilt för användare), är den lyckligtvis inte allmänt använd. Att få ett giltigt certifikat blir allt mer komplicerat, eftersom företag blir allt bättre skyddade och dyrare, eftersom de få som finns värderas högt på de svarta marknaderna. Dessutom är giltigheten för ett certifikat, när det väl används för att underteckna ett hot, mycket begränsad. Därför är det endast mycket specifik skadlig programvara, som används för mycket specifika syften, som använder sig av denna teknik.
För att skydda oss själva måste vi utföra de vanliga metoderna. Och det viktigaste är att vi, förutom sunt förnuft, ser till att göra det Håll Windows och antivirusprogrammet alltid uppdaterat . På så sätt kan vi ha en svartlista med de certifikat som har äventyrats och, om en skadlig programvara signerad med dem når vår dator, kommer den inte att kunna infektera oss.
