Što je malware s potpisom koda i kako ga izbjeći?

Što je malware s potpisom koda i kako ga izbjeći?

Potpisivanje koda je metoda korištenja digitalnog potpisa temeljenog na certifikatu za dio softvera tako da operativni sustav i korisnici mogu utvrditi njegovu sigurnost. Samo ispravan softver može koristiti svoj odgovarajući digitalni potpis.

Korisnici mogu sigurno preuzeti i instalirati softver, a programeri štite ugled svojih proizvoda potpisivanjem koda. Međutim, hakeri i distributeri zlonamjernog softvera koriste upravo taj sustav za dobivanje zlonamjernog koda putem antivirusnih paketa i drugih sigurnosnih programa . Dakle, što je malware potpisan kodom i kako radi?

Što je zlonamjerni softver s potpisom koda?

Kad je softver digitalno potpisan, to znači da ima službeni digitalni potpis. Tijelo za izdavanje certifikata izdaje certifikat softveru kako bi utvrdilo da je softver legalan i siguran za upotrebu.

Korisnici se neće morati brinuti jer će operativni sustav provjeriti certifikat i provjeriti taj digitalni potpis. Na primjer, Windows koristi lanac certifikata koji sadrži sve potrebne certifikate kako bi se osigurala legitimnost softvera.

Lanac certifikata sadrži sve certifikate potrebne za certificiranje entiteta identificiranog završnim certifikatom. Zapravo se sastoji od terminalskog certifikata, srednjeg CA certifikata i korijenskog CA certifikata kojem vjeruju sve strane u lancu. Svaki srednji CA certifikat u lancu sadrži certifikat koji izdaje CA jednu razinu iznad njega. Korijenski CA izdaje certifikate za sebe.

Nakon što se sustav pokrene, možete vjerovati softveru, sustavu za potpisivanje koda i CA-u. Zlonamjerni softver je zlonamjerni softver, nepouzdan je i nema pristup autoritetu za izdavanje certifikata ili potpisivanju koda.

Hakeri kradu certifikate iz tijela za izdavanje certifikata

Antivirusni softver zna da je malware zlonamjeran jer negativno utječe na vaš sustav. Pokreće upozorenja, korisnici prijavljuju probleme, a antivirusni softver može stvoriti malware potpise kako bi zaštitio druga računala koja koriste isti antivirusni mehanizam.

Međutim, kada bi kreatori zlonamjernog softvera mogli potpisati zlonamjerni softver službenim digitalnim potpisima, gore navedeni proces ne bi se dogodio. Umjesto toga, kodirani malware može ući u sustav službenim putem jer vaš antivirusni softver i operativni sustav ne otkrivaju ništa opasno.

Prema istraživanju Trend Microa, cjelokupno tržište zlonamjernog softvera usmjereno je na podršku razvoju i distribuciji zlonamjernog softvera potpisanog kodom. Operatori zlonamjernog softvera imaju pristup valjanim certifikatima koji se koriste za potpisivanje zlonamjernog koda. Tablica u nastavku prikazuje količinu zlonamjernog softvera koji koristi potpisivanje koda za izbjegavanje antivirusnog softvera od travnja 2018.

Što je malware s potpisom koda i kako ga izbjeći?

Istraživanje tvrtke Trend Micro također pokazuje da oko 66% malwarea ima digitalne potpise. Osim toga, postoje neke specifične vrste zlonamjernog softvera koji imaju više verzija digitalnih potpisa kao što su trojanci , dropperi i ransomware .

Odakle dolazi digitalni certifikat za potpisivanje koda?

Distributeri i programeri zlonamjernog softvera imaju dva načina za stvaranje malvera potpisanog kodom. Oni kradu certifikate od Tijela za izdavanje certifikata izravnim preuzimanjem ili lažnim predstavljanjem legitimne organizacije i traženjem certifikata od CA.

Kao što vidite, CA nije jedino mjesto na kojem su hakeri ciljani. Distributeri s pristupom legitimnim certifikatima mogu prodavati pouzdane digitalno potpisane certifikate razvojnim programerima i distributerima zlonamjernog softvera.

Sigurnosni istraživački tim sa Sveučilišta Masaryk u Češkoj i Maryland Cybersecurity Center otkrio je četiri organizacije koje prodaju Microsoft Authenticode certifikate anonimnim kupcima. Nakon što programer zlonamjernog softvera dobije certifikat Microsoft Authenticode, može potpisati svaki mogući zlonamjerni softver putem potpisivanja koda i zaštite temeljene na certifikatu.

U nekim drugim slučajevima, umjesto krađe certifikata, hakeri će se infiltrirati u poslužitelj za izradu softvera. Kada se izda nova verzija softvera, imat će legitiman certifikat, hakeri iskorištavaju ovaj proces za dodavanje zlonamjernog koda.

Primjer zlonamjernog softvera s potpisom koda

Dakle, kako izgleda malware potpisan kodom? Ispod su tri primjera ove vrste zlonamjernog softvera.

  • Zlonamjerni softver Stuxnet : Ovaj zlonamjerni softver uništio je iranski nuklearni program pomoću dva ukradena certifikata i četiri ranjivosti nultog dana. Ti su certifikati ukradeni od dviju tvrtki JMicron i Realtek. Stuxnet je koristio ukradene certifikate kako bi izbjegao novi zahtjev Windowsa da svi upravljački programi zahtijevaju provjeru.
  • Proboj Asusovog poslužitelja: između lipnja i studenog 2018. hakeri su prodrli u Asusov poslužitelj koji tvrtke koriste za slanje ažuriranja softvera korisnicima. Istraživanja u Kaspersky Labu pokazuju da je oko 500 tisuća Windows uređaja primilo ovo zlonamjerno ažuriranje prije nego što je otkriveno. Bez krađe certifikata, ovi hakeri potpisuju legitimne Asusove digitalne certifikate za svoj zlonamjerni softver prije nego što softverski poslužitelj distribuira ažuriranja sustava.
  • Zlonamjerni softver Flame: varijanta zlonamjernog softvera modula Flame koji cilja na zemlje Bliskog istoka, koristeći lažno potpisane certifikate kako bi se izbjeglo otkrivanje. Programeri Flamea koristili su slab algoritam šifriranja za lažiranje digitalnih certifikata za potpisivanje koda, čineći da izgleda kao da ih je potpisao Microsoft. Za razliku od Stuxneta, koji je trebao biti destruktivan, Flame je špijunski alat koji pretražuje PDF datoteke, AutoCAD datoteke, tekstualne datoteke i druge vrste važnih industrijskih dokumenata.

Kako izbjeći malware potpisan kodom?

Ova vrsta zlonamjernog softvera koristi potpisivanje koda kako bi izbjegla otkrivanje od strane antivirusnog softvera i sustava, tako da je zaštita od zlonamjernog softvera potpisanog kodom izuzetno teška. Uvijek je važno ažurirati antivirusni softver i sustave, izbjegavajte klikanje na nepoznate poveznice i pažljivo provjerite odakle poveznica dolazi prije nego što je slijedite. Pogledajte članak Rizici od zlonamjernog softvera i kako ga izbjeći .


Što su FAT32, NTFS, exFAT formati?

Što su FAT32, NTFS, exFAT formati?

NTFS, FAT32, exFAT su datotečni sustavi na Windowsima, ali konkretno što je NTFS, što je FAT32, što je exFAT, koje su njihove sličnosti i razlike? Pozivamo čitatelje da pogledaju ovaj članak.

Saznajte više o Telnet protokolu

Saznajte više o Telnet protokolu

Telnet je protokol naredbenog retka koji se koristi za daljinsko upravljanje raznim uređajima kao što su poslužitelji, računala, usmjerivači, preklopnici, kamere, vatrozidi.

Što je prijava bez lozinke? Je li stvarno sigurno?

Što je prijava bez lozinke? Je li stvarno sigurno?

Ako ne koristite lozinku, kako ćete zaštititi svoj račun? Što su prijave bez lozinke i jesu li sigurne? Otkrijmo s Quantrimang.com kroz sljedeći članak!

Što je oštećenje podataka?

Što je oštećenje podataka?

Kada netko raspravlja o čuvanju osjetljivih podataka, vjerojatno ćete čuti izraz "oštećenje podataka". Dakle, što je "oštećenje podataka" i kako možete popraviti svoje datoteke ako nešto pođe po zlu?

Saznajte više o Cloud Firewallu

Saznajte više o Cloud Firewallu

Kako se tehnologija oko nas razvija, vatrozide također treba prenijeti u oblak kako bi išli u korak s trendom. Zato je nastao pojam cloud firewall.

Što je malware s potpisom koda i kako ga izbjeći?

Što je malware s potpisom koda i kako ga izbjeći?

Potpisivanje koda je metoda korištenja digitalnog potpisa temeljenog na certifikatu za dio softvera tako da operativni sustav i korisnici mogu utvrditi njegovu sigurnost. Što je malware potpisan kodom i kako radi?

13 razloga zašto biste trebali koristiti VPN

13 razloga zašto biste trebali koristiti VPN

Virtualne privatne mreže pristupačne su, jednostavne su za korištenje i važna su komponenta postavki računala i pametnih telefona. Uz vatrozid i antivirusno/antimalware rješenje, trebali biste instalirati VPN tako da svaki trenutak koji provedete na mreži bude potpuno privatan.

Što je Mylobot i kako ovaj malware radi?

Što je Mylobot i kako ovaj malware radi?

U 2017. sigurnosni istraživači otkrili su oko 23 000 uzoraka zlonamjernog softvera svaki dan, što je oko 795 komada zlonamjernog softvera proizvedenog svakog sata. Nedavno se pojavio novi, vrlo sofisticirani komad malwarea pod nazivom Mylobot.

Naučite o decibelima (dB) u računalnim mrežama

Naučite o decibelima (dB) u računalnim mrežama

Decibel (dB) je standardna mjerna jedinica koja se koristi za mjerenje jačine signala žične i bežične mreže.

Što je Catalyst Control Center (CCC.exe)?

Što je Catalyst Control Center (CCC.exe)?

Catalyst Control Center je uslužni program koji dolazi s upravljačkim programom i pomaže u radu AMD video kartica. Pojavljuje se kao CCC.exe u korisničkom upravitelju zadataka i u većini slučajeva o tome se nikada nećete morati brinuti.