Hệ điều hành và chương trình chống vi-rút đang trở nên chính xác hơn khi phát hiện tất cả các loại mối đe dọa. Đó là lý do tại sao ngày càng khó để tin tặc có thể trốn tránh các hệ thống bảo mật này và họ phải tìm kiếm các kỹ thuật ngày càng phức tạp để trốn tránh các biện pháp bảo mật này. Đây là cách, trong một thời gian, họ đã ký mã của họ với các chứng chỉ số quản lý để bỏ qua tất cả các biện pháp này và phức tạp hơn nhiều để phát hiện. Đây là cách hoạt động của kỹ thuật ký phần mềm độc hại nguy hiểm này.
Ký mã là một kỹ thuật hợp pháp mà các nhà phát triển đã sử dụng từ lâu. Để làm điều này, họ sử dụng chứng chỉ kỹ thuật số do tổ chức chứng nhận đáng tin cậy cấp để cả người dùng và hệ điều hành cũng như chống vi-rút đều có thể biết rằng mã này là chính hãng và chưa bị sửa đổi.
Ban đầu, chỉ những nhà phát triển được CA xác thực mới có thể ký mã của họ bằng chứng chỉ kỹ thuật số của riêng họ. Và, bằng cách sử dụng các kỹ thuật mật mã tiên tiến, các chứng chỉ này không thể bị giả mạo hoặc nhân bản. Tuy nhiên, các hacker đã tìm ra cách để làm điều đó.
Cách phần mềm độc hại được ký bằng chứng chỉ gốc
Nhìn chung, để chứng nhận rằng một nhà phát triển là hợp pháp và thực sự thuộc về một công ty, cơ quan cấp chứng chỉ có những yêu cầu khá cao. Tuy nhiên, tin tặc có thể làm sai lệch những yêu cầu này mạo danh một tổ chức hợp pháp và lấy chứng chỉ để ký vào các phần mềm độc hại của họ. Nó cũng có thể cho tin tặc xâm nhập vào công ty và đánh cắp chứng chỉ của công ty . Nếu điều này hợp lệ, nó có giá rất cao trên thị trường chợ đen.
Sau khi tin tặc đã ký mã, Windows và các biện pháp bảo mật chống vi-rút hầu như luôn bị đánh bại. Khi chúng tôi chạy nó, hệ thống tin tưởng mã này theo mặc định và cuối cùng, nó sẽ lây nhiễm vào hệ thống mà không có bất kỳ thứ gì hoặc bất kỳ ai có thể làm bất cứ điều gì về nó.
Hai phần mềm độc hại đã sử dụng kỹ thuật này là:
- Stuxnet: Phần mềm độc hại này đã sử dụng hai chứng chỉ kỹ thuật số của JMicron và Realtek để ẩn làm trình điều khiển và thậm chí tấn công (và phá hủy, bằng máy tính) một nhà máy điện hạt nhân.
- Ngọn lửa: Phần mềm gián điệp này đã lợi dụng một lỗ hổng mật mã để tạo ra các chứng chỉ của riêng mình. Mục đích của anh ta là do thám các tài liệu chứ không phải để làm hại.
Hơn nữa, vào năm 2018, một nhóm tin tặc thậm chí còn quản lý để phân phối một bản cập nhật cho ASUS máy tính sử dụng chứng chỉ kỹ thuật số và lây nhiễm phần mềm độc hại cho nửa triệu máy chỉ trong vài giây. May mắn thay, đó là một cuộc tấn công có chủ đích nhằm lây nhiễm cho 600 máy tính rất cụ thể, và tác động cuối cùng là rất nhỏ.
Làm cách nào để bảo vệ mình khỏi những mối đe dọa này?
Mặc dù đây là một kỹ thuật rất nguy hiểm (đối với người dùng, đặc biệt là), may mắn là nó không được sử dụng rộng rãi. Việc có được một chứng chỉ hợp lệ ngày càng phức tạp, vì các công ty ngày càng được bảo vệ tốt hơn và đắt hơn, vì một số ít tồn tại được đánh giá cao trên thị trường chợ đen. Hơn nữa, hiệu lực của một chứng chỉ, một khi nó được sử dụng để ký một mối đe dọa, là rất hạn chế. Do đó, chỉ có phần mềm độc hại rất cụ thể, được sử dụng cho các mục đích rất cụ thể, mới là phần mềm sử dụng kỹ thuật này.
Để bảo vệ chính mình, chúng ta phải thực hiện các thực hành thông thường. Và điều quan trọng nhất là, ngoài ý thức chung, chúng tôi đảm bảo giữ cho Windows và phần mềm chống vi-rút luôn được cập nhật . Bằng cách này, chúng tôi có thể có một danh sách đen với các chứng chỉ đã bị xâm phạm và nếu phần mềm độc hại đã ký với chúng đến được PC của chúng tôi, nó sẽ không thể lây nhiễm cho chúng tôi.
