Artikel top billede

Malware-folket snyder dig med falske underskrifter

Udviklerne af malware underskriver i stigende grad deres skadelige software med stjålne certifikater for at snyde din sikkerhedssoftware.

Computerworld News Service: It-sikkerhedsfirmaerne har den senere tid identificeret en række eksempler på malware, der anvender stjålne digitale certifikater til at underskrive deres komponenter i forsøget på at undgå at blive opdaget af sikkerhedssoftware.

Da ormen Stuxnet, der var skræddersyet til meget specifik industrisabotage, blev opdaget i 2010, overraskede den sikkerhedsbranchen med sin anvendelse af rootkit-komponenter, der var digitalt underskrevet med certifikater, der var stjålet fra chipproducenterne Realtek og JMicron.

Sikkerhedseksperterne forudsagde på daværende tidspunkt, at andre udviklere af malware i fremtiden ville tage denne teknik til sig med den hensigt at omgå håndhævelsen af driver-signaturer i 64-bit-udgaverne af Windows Vista og Windows 7. Nu ser det desværre ud til, at de har fået ret.

En bagdør, der blev opdaget af Symantec i december, installerede for eksempel en rootkit-driver, der var underskrevet med et digitalt certifikat fra en unavngiven virksomhed. Dette certifikat blev ni dage senere tilbagekaldt af VeriSign efter anmodning fra ejeren.

Der er dog risiko for, at sådan malware forbliver uopdaget i betydeligt længere tid, end indtil de stjålne certifikater bliver tilbagekaldt, da der går lang tid imellem, at de forskellige versioner af Windows kontrollerer listerne over tilbagekaldte certifikater - hvis de overhovedet kontrollerer disse lister, påpeger Mircea Ciubotariu, som er ledende softwareingeniør hos Symantec.

Men selv hvis Windows jævnligt kontrollerede disse lister, ville det ikke gøre megen forskel i forhold til malware, der allerede er underskrevet med de tilbagekaldte certifikater, fordi det ikke er praktisk gennemførligt at blokere sådanne filer, påpeger Costin Raiu, der er chef for global analyse hos Kaspersky Lab.

Han trækker Stuxnet, der anvendte et stjålet Realtek-certifikat, frem som eksempel:

"Hvis Microsoft blokerede for indlæsningen af alle kendte filer, der var underskrevet med det certifikat, så ville millioner af brugere over hele verden med hardware fra Realtek pludselig ikke længere kunne bruge deres bundkort og netværkskort og så videre. Derfor kan Microsoft ikke blokere for afvikling eller indlæsning af filer, der er underskrevet med stjålne certifikater."

Dropper-trojaner

Et andet stykke malware, der for nylig er blevet identificeret af Kaspersky Lab, var underskrevet med et certifikat, der var stjålet fra et schweizisk selskab ved navn Conpavi AG.

"Dette selskab samarbejder med schweiziske statslige institutioner såsom kommuner og kantoner," oplyser sikkerhedsekspert Vyacheslav Zakorzhevsky fra Kaspersky Lab i et blogindlæg.

Denne trussel kaldes af Kaspersky Lab for Trojan-Dropper.Win32/Win64.Mediyes og er del af en kliksvindel-kampagne. Den underskrevne komponent er i dette tilfælde ikke en driver men derimod malware-installeren, hvilket også kaldes for en dropper.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
TIETOEVRY DENMARK A/S
Udvikler, sælger og implementerer software til ESDH, CRM og portaler. Fokus på detailhandel, bygge- og anlæg, energi og finans.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

12. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

13. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

21. november 2024 | Læs mere