Artikel top billede

Malware-folket snyder dig med falske underskrifter

Udviklerne af malware underskriver i stigende grad deres skadelige software med stjålne certifikater for at snyde din sikkerhedssoftware.

Computerworld News Service: It-sikkerhedsfirmaerne har den senere tid identificeret en række eksempler på malware, der anvender stjålne digitale certifikater til at underskrive deres komponenter i forsøget på at undgå at blive opdaget af sikkerhedssoftware.

Da ormen Stuxnet, der var skræddersyet til meget specifik industrisabotage, blev opdaget i 2010, overraskede den sikkerhedsbranchen med sin anvendelse af rootkit-komponenter, der var digitalt underskrevet med certifikater, der var stjålet fra chipproducenterne Realtek og JMicron.

Sikkerhedseksperterne forudsagde på daværende tidspunkt, at andre udviklere af malware i fremtiden ville tage denne teknik til sig med den hensigt at omgå håndhævelsen af driver-signaturer i 64-bit-udgaverne af Windows Vista og Windows 7. Nu ser det desværre ud til, at de har fået ret.

En bagdør, der blev opdaget af Symantec i december, installerede for eksempel en rootkit-driver, der var underskrevet med et digitalt certifikat fra en unavngiven virksomhed. Dette certifikat blev ni dage senere tilbagekaldt af VeriSign efter anmodning fra ejeren.

Der er dog risiko for, at sådan malware forbliver uopdaget i betydeligt længere tid, end indtil de stjålne certifikater bliver tilbagekaldt, da der går lang tid imellem, at de forskellige versioner af Windows kontrollerer listerne over tilbagekaldte certifikater - hvis de overhovedet kontrollerer disse lister, påpeger Mircea Ciubotariu, som er ledende softwareingeniør hos Symantec.

Men selv hvis Windows jævnligt kontrollerede disse lister, ville det ikke gøre megen forskel i forhold til malware, der allerede er underskrevet med de tilbagekaldte certifikater, fordi det ikke er praktisk gennemførligt at blokere sådanne filer, påpeger Costin Raiu, der er chef for global analyse hos Kaspersky Lab.

Han trækker Stuxnet, der anvendte et stjålet Realtek-certifikat, frem som eksempel:

"Hvis Microsoft blokerede for indlæsningen af alle kendte filer, der var underskrevet med det certifikat, så ville millioner af brugere over hele verden med hardware fra Realtek pludselig ikke længere kunne bruge deres bundkort og netværkskort og så videre. Derfor kan Microsoft ikke blokere for afvikling eller indlæsning af filer, der er underskrevet med stjålne certifikater."

Dropper-trojaner

Et andet stykke malware, der for nylig er blevet identificeret af Kaspersky Lab, var underskrevet med et certifikat, der var stjålet fra et schweizisk selskab ved navn Conpavi AG.

"Dette selskab samarbejder med schweiziske statslige institutioner såsom kommuner og kantoner," oplyser sikkerhedsekspert Vyacheslav Zakorzhevsky fra Kaspersky Lab i et blogindlæg.

Denne trussel kaldes af Kaspersky Lab for Trojan-Dropper.Win32/Win64.Mediyes og er del af en kliksvindel-kampagne. Den underskrevne komponent er i dette tilfælde ikke en driver men derimod malware-installeren, hvilket også kaldes for en dropper.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
JN Data A/S
Driver og udvikler it-systemer for finanssektoren.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Strategisk IT-sikkerhedsdag 2022 - identificer, beskyt og forsvar

IT-sikkerhedstruslerne mod virksomhederne er i takt med tiden blevet større og værre, fordi virksomhederne er mere end nogensinde før afhængige af data og IT. Det stiller krav til de IT-ansvarlige, der konstant skal tage bestik af det skiftende trusselniveau. Det kræver blandt andet, at it-sikkerhed bliver sat på den strategiske dagsorden i virksomhederne – men hvordan?

25. januar 2022 | Læs mere


Hjemmearbejdets påvirkning på trivsel, helbred og arbejdsmiljø

Fremtidens arbejdsplads er hybrid, det er der ingen tvivl om. Men hvad fører det egentlig med sig? Og hvordan omstiller du og din arbejdsplads sig til det? Det kan du blive klogere på, på denne digitale konference.

02. februar 2022 | Læs mere


GDPR - persondatabeskyttelse i praksis

Håndteringen af persondata og GDPR er for længst blevet hverdag hos de danske organisationer, men derfor er det til stadighed vigtigt og altafgørende, at den løbende overholdelse af GDPR er på plads. Vær med og hør, hvordan du ved hjælp af processuelle greb, værktøjer og systemer kan sikre dette.

08. februar 2022 | Læs mere