Malware vaker gesigneerd met legitieme certificaten

[Captain Kirk]

Malware is steeds vaker gesigneerd met legitieme certificaten die in naam van legitieme bedrijven zijn aangevraagd, wat het lastiger voor beveiligingssoftware maakt om de malware te detecteren. Dat stelt securitybedrijf Recorded Future in een nieuw onderzoek (pdf).

Softwareontwikkelaars kunnen hun programma's via certificaten signeren, zodat ze bijvoorbeeld door het besturingssysteem of beveiligingssoftware worden vertrouwd. In het geval van ongesigneerde software kan het besturingssysteem een waarschuwing laten zien of vereisen dat er extra stappen voor de installatie zijn vereist. Certificaten kunnen bij een certificaatautoriteit worden aangevraagd. Deze partijen controleren de aanvrager en geven dan pas het certificaat uit.

Voor een aanvaller heeft het verschillende voordelen om zijn of haar malware te signeren. Hiervoor moet echter een certificaat worden verkregen. In het verleden zijn er meerdere malware-aanvallen geweest waarbij aanvallers de certificaten van bedrijven stalen, om daarmee hun malware te signeren. Er is echter ook een markt waar certificaten op aanvraag worden geregeld, met de gegevens van legitieme bedrijven, aldus Recorded Future.

"In tegenstelling tot wat vaak wordt gedacht, dat de veiligheidscertificaten die in de ondergrond rondgaan van legitieme eigenaren zijn gestolen voordat ze bij aanvallen worden ingezet, hebben wij met een hoge mate van zekerheid vastgesteld dat de certificaten op verzoek van een specifieke koper worden aangemaakt en worden geregistreerd met gestolen zakelijke identiteiten, wat netwerkbeveiligingsapparaten minder effectief maakt", zo stelt het securitybedrijf.

De goedkoopste certificaten voor het signeren van code kosten 299 dollar, waarbij het meest uitgebreide Extended Validation (EV) certificaat met een SmartScreen reputatiebeoordeling voor 1599 dollar wordt aangeboden. De beginprijs van een domeinnaamregistratie met een EV SSL-certificaat is 349 dollar. Recorded Future besloot de aangeboden certificaten met een Remote Access Trojan (RAT) te testen. De RAT werd door acht anti-virusbedrijven gedetecteerd. Na het signeren van de code met een certificaat dat door de criminelen was geregeld wisten nog maar twee oplossingen de malware te detecteren.

Recorded Future verwacht niet dat deze vervalste certificaten vanwege de hoge kosten gemeengoed onder cybercriminelen zullen worden. Meer geraffineerde aanvallers en landen die zich met minder grootschalige en meer gerichte aanvallen bezighouden zullen dergelijke certificaten in hun operaties blijven gebruiken, aldus de conclusie van de onderzoekers.

 

 

bron: security.nl