Artikel top billede

Malware-folket snyder dig med falske underskrifter

Udviklerne af malware underskriver i stigende grad deres skadelige software med stjålne certifikater for at snyde din sikkerhedssoftware.

Computerworld News Service: It-sikkerhedsfirmaerne har den senere tid identificeret en række eksempler på malware, der anvender stjålne digitale certifikater til at underskrive deres komponenter i forsøget på at undgå at blive opdaget af sikkerhedssoftware.

Da ormen Stuxnet, der var skræddersyet til meget specifik industrisabotage, blev opdaget i 2010, overraskede den sikkerhedsbranchen med sin anvendelse af rootkit-komponenter, der var digitalt underskrevet med certifikater, der var stjålet fra chipproducenterne Realtek og JMicron.

Sikkerhedseksperterne forudsagde på daværende tidspunkt, at andre udviklere af malware i fremtiden ville tage denne teknik til sig med den hensigt at omgå håndhævelsen af driver-signaturer i 64-bit-udgaverne af Windows Vista og Windows 7. Nu ser det desværre ud til, at de har fået ret.

En bagdør, der blev opdaget af Symantec i december, installerede for eksempel en rootkit-driver, der var underskrevet med et digitalt certifikat fra en unavngiven virksomhed. Dette certifikat blev ni dage senere tilbagekaldt af VeriSign efter anmodning fra ejeren.

Der er dog risiko for, at sådan malware forbliver uopdaget i betydeligt længere tid, end indtil de stjålne certifikater bliver tilbagekaldt, da der går lang tid imellem, at de forskellige versioner af Windows kontrollerer listerne over tilbagekaldte certifikater - hvis de overhovedet kontrollerer disse lister, påpeger Mircea Ciubotariu, som er ledende softwareingeniør hos Symantec.

Men selv hvis Windows jævnligt kontrollerede disse lister, ville det ikke gøre megen forskel i forhold til malware, der allerede er underskrevet med de tilbagekaldte certifikater, fordi det ikke er praktisk gennemførligt at blokere sådanne filer, påpeger Costin Raiu, der er chef for global analyse hos Kaspersky Lab.

Han trækker Stuxnet, der anvendte et stjålet Realtek-certifikat, frem som eksempel:

"Hvis Microsoft blokerede for indlæsningen af alle kendte filer, der var underskrevet med det certifikat, så ville millioner af brugere over hele verden med hardware fra Realtek pludselig ikke længere kunne bruge deres bundkort og netværkskort og så videre. Derfor kan Microsoft ikke blokere for afvikling eller indlæsning af filer, der er underskrevet med stjålne certifikater."

Dropper-trojaner

Et andet stykke malware, der for nylig er blevet identificeret af Kaspersky Lab, var underskrevet med et certifikat, der var stjålet fra et schweizisk selskab ved navn Conpavi AG.

"Dette selskab samarbejder med schweiziske statslige institutioner såsom kommuner og kantoner," oplyser sikkerhedsekspert Vyacheslav Zakorzhevsky fra Kaspersky Lab i et blogindlæg.

Denne trussel kaldes af Kaspersky Lab for Trojan-Dropper.Win32/Win64.Mediyes og er del af en kliksvindel-kampagne. Den underskrevne komponent er i dette tilfælde ikke en driver men derimod malware-installeren, hvilket også kaldes for en dropper.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Targit A/S
Udvikling og salg af software til business intelligence.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere