Artikel top billede

Malware-folket snyder dig med falske underskrifter

Udviklerne af malware underskriver i stigende grad deres skadelige software med stjålne certifikater for at snyde din sikkerhedssoftware.

Computerworld News Service: It-sikkerhedsfirmaerne har den senere tid identificeret en række eksempler på malware, der anvender stjålne digitale certifikater til at underskrive deres komponenter i forsøget på at undgå at blive opdaget af sikkerhedssoftware.

Da ormen Stuxnet, der var skræddersyet til meget specifik industrisabotage, blev opdaget i 2010, overraskede den sikkerhedsbranchen med sin anvendelse af rootkit-komponenter, der var digitalt underskrevet med certifikater, der var stjålet fra chipproducenterne Realtek og JMicron.

Sikkerhedseksperterne forudsagde på daværende tidspunkt, at andre udviklere af malware i fremtiden ville tage denne teknik til sig med den hensigt at omgå håndhævelsen af driver-signaturer i 64-bit-udgaverne af Windows Vista og Windows 7. Nu ser det desværre ud til, at de har fået ret.

En bagdør, der blev opdaget af Symantec i december, installerede for eksempel en rootkit-driver, der var underskrevet med et digitalt certifikat fra en unavngiven virksomhed. Dette certifikat blev ni dage senere tilbagekaldt af VeriSign efter anmodning fra ejeren.

Der er dog risiko for, at sådan malware forbliver uopdaget i betydeligt længere tid, end indtil de stjålne certifikater bliver tilbagekaldt, da der går lang tid imellem, at de forskellige versioner af Windows kontrollerer listerne over tilbagekaldte certifikater - hvis de overhovedet kontrollerer disse lister, påpeger Mircea Ciubotariu, som er ledende softwareingeniør hos Symantec.

Men selv hvis Windows jævnligt kontrollerede disse lister, ville det ikke gøre megen forskel i forhold til malware, der allerede er underskrevet med de tilbagekaldte certifikater, fordi det ikke er praktisk gennemførligt at blokere sådanne filer, påpeger Costin Raiu, der er chef for global analyse hos Kaspersky Lab.

Han trækker Stuxnet, der anvendte et stjålet Realtek-certifikat, frem som eksempel:

"Hvis Microsoft blokerede for indlæsningen af alle kendte filer, der var underskrevet med det certifikat, så ville millioner af brugere over hele verden med hardware fra Realtek pludselig ikke længere kunne bruge deres bundkort og netværkskort og så videre. Derfor kan Microsoft ikke blokere for afvikling eller indlæsning af filer, der er underskrevet med stjålne certifikater."

Dropper-trojaner

Et andet stykke malware, der for nylig er blevet identificeret af Kaspersky Lab, var underskrevet med et certifikat, der var stjålet fra et schweizisk selskab ved navn Conpavi AG.

"Dette selskab samarbejder med schweiziske statslige institutioner såsom kommuner og kantoner," oplyser sikkerhedsekspert Vyacheslav Zakorzhevsky fra Kaspersky Lab i et blogindlæg.

Denne trussel kaldes af Kaspersky Lab for Trojan-Dropper.Win32/Win64.Mediyes og er del af en kliksvindel-kampagne. Den underskrevne komponent er i dette tilfælde ikke en driver men derimod malware-installeren, hvilket også kaldes for en dropper.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Also A/S
Salg af serviceydelser inden for logistik, finansiering, fragt og levering, helhedsløsninger, digitale tjenester og individuelle it-løsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Datadrevet forretning 2022: Sæt data på den strategiske dagsorden

Lær hvordan du tænker automatisering, data og digitalisering ind i dagligdagen, over for kunderne og hvordan du får skabt ny forretning.

31. maj 2022 | Læs mere


Sådan gør du din forsyningskæde mere robust

Vi sætter fokus på standardværktøjer og tillægsløsninger til Microsoft Dynamics 365 FO i produktionsvirksomheder, som vil planlægge og drive en effektiv supply chain.

31. maj 2022 | Læs mere


AI & machine learning i praksis: Sådan får du gevinst i din dagligdag

Kunstig intelligens, machine learning og algoritmer er i fuld gang med at forandre måden, vi arbejder og driver virksomhed på. På seminaret kan du møde førende eksperter på området, leverandører, beslutningstagere og praktikere, der fokuserer på best practise på området.

02. juni 2022 | Læs mere






CIO
Årets CIO 2022: Nu skal Danmarks dygtigste CIO findes - er det dig? Eller kender du en, du vil indstille?