A kódaláírás egy tanúsítvány alapú digitális aláírás használatának módszere egy szoftverhez, így az operációs rendszer és a felhasználók meg tudják állapítani annak biztonságát. Csak a megfelelő szoftver használhatja a megfelelő digitális aláírást.
A felhasználók biztonságosan tölthetnek le és telepíthetnek szoftvereket, a fejlesztők pedig kódaláírással védik termékeik hírnevét. A hackerek és a rosszindulatú programok terjesztői azonban pontosan ezt a rendszert használják arra, hogy rosszindulatú kódokat szerezzenek be víruskereső csomagokon és más biztonsági programokon keresztül . Tehát mi az a kóddal aláírt rosszindulatú program, és hogyan működik?
Mi az a Code Signed malware?
Ha a szoftver digitálisan alá van írva, az azt jelenti, hogy hivatalos digitális aláírással rendelkezik. A tanúsító hatóság tanúsítványt ad ki egy szoftvernek annak megállapítására, hogy a szoftver legális és biztonságosan használható-e.
A felhasználóknak nem kell aggódniuk, mert az operációs rendszer ellenőrzi a tanúsítványt és ellenőrzi a digitális aláírást. Például a Windows egy tanúsítványláncot használ, amely tartalmazza az összes szükséges tanúsítványt a szoftver legitimitásának biztosítására.
A tanúsítványlánc tartalmazza az összes tanúsítványt, amely a végtanúsítvány által azonosított entitás hitelesítéséhez szükséges. Valójában egy termináltanúsítványból, egy közbenső CA-tanúsítványból és egy gyökér CA-tanúsítványból áll, amelyben a láncban minden fél megbízik. A láncban minden köztes CA-tanúsítvány egy szinttel felette lévő CA által kiadott tanúsítványt tartalmaz. A gyökér CA állít ki magának tanúsítványokat.
A rendszer üzembe helyezése után megbízhat a szoftverben, a kódaláíró rendszerben és a CA-ban. A rosszindulatú program rosszindulatú szoftver, nem megbízható, és nem fér hozzá a tanúsító hatósághoz vagy a kód aláírásához.
A hackerek tanúsítványokat lopnak a tanúsító hatóságtól
A víruskereső szoftver tudja, hogy a rosszindulatú program rosszindulatú, mert negatívan befolyásolja a rendszert. Figyelmeztetéseket vált ki, a felhasználók bejelentik a problémákat, és a víruskereső szoftverek rosszindulatú szoftveraláírásokat hozhatnak létre, hogy megvédjék az ugyanazt a víruskereső motort használó többi számítógépet.
Ha azonban a rosszindulatú programok készítői hivatalos digitális aláírással aláírhatnák a rosszindulatú programokat, a fenti folyamat nem történne meg. Ehelyett a kóddal énekelt rosszindulatú programok hivatalos úton juthatnak be a rendszerbe, mert víruskereső szoftvere és operációs rendszere nem észlel semmi veszélyeset.
A Trend Micro kutatása szerint a teljes kártevő-piac a Code-signed kártevők fejlesztésének és terjesztésének támogatására összpontosít. A rosszindulatú programok üzemeltetői hozzáférhetnek a rosszindulatú kód aláírására használt érvényes tanúsítványokhoz. Az alábbi táblázat azt mutatja, hogy 2018 áprilisa óta 2018 áprilisa óta hány rosszindulatú program használ kódaláírást a víruskereső szoftverek elkerülésére.
A Trend Micro kutatása azt is mutatja, hogy a rosszindulatú programok mintegy 66%-a rendelkezik digitális aláírással. Ezenkívül vannak bizonyos típusú rosszindulatú programok, amelyek többféle digitális aláírással rendelkeznek, mint például a trójaiak , a dropperek és a ransomware .
Honnan származik a kódaláíró digitális tanúsítvány?
A rosszindulatú programok terjesztői és fejlesztői kétféleképpen hozhatnak létre kóddal aláírt kártevőket. Tanúsítványokat lopnak el a Hitelesítés-szolgáltatótól közvetlenül, vagy jogos szervezet megszerzésével vagy kiadásával, és tanúsítványt kérnek a CA-tól.
Mint látható, a CA nem az egyetlen hely, amelyet a hackerek célba vesznek. A törvényes tanúsítványokhoz hozzáféréssel rendelkező terjesztők megbízható, digitálisan aláírt tanúsítványokat adhatnak el rosszindulatú programok fejlesztőinek és forgalmazóinak.
A cseh Masaryk Egyetem és a Maryland Cybersecurity Center biztonsági kutatócsoportja négy szervezetet fedezett fel, amelyek névtelen vásárlóknak adnak el Microsoft Authenticode tanúsítványokat. Ha egy rosszindulatú programfejlesztő rendelkezik Microsoft Authenticode-tanúsítvánnyal, kódaláírással és tanúsítványalapú védelemmel aláírhat minden lehetséges rosszindulatú programot.
Más esetekben a tanúsítványok ellopása helyett a hackerek behatolnak a szoftverkészítő szerverre. Amikor egy új szoftververzió megjelenik, annak törvényes tanúsítványa lesz, a hackerek kihasználják ezt a folyamatot rosszindulatú kód hozzáadására.
Példa kóddal aláírt rosszindulatú programokra
Tehát hogyan néz ki a kóddal aláírt rosszindulatú program? Az alábbiakban három példa látható az ilyen típusú rosszindulatú programokra.
Hogyan kerülhetjük el a kóddal aláírt rosszindulatú programokat?
Az ilyen típusú kártevők kódaláírást használnak, hogy elkerüljék a víruskereső szoftverek és rendszerek észlelését, így a kóddal aláírt kártevők elleni védekezés rendkívül nehéz. A víruskereső szoftverek és rendszerek folyamatos frissítése elengedhetetlen, kerülje az ismeretlen hivatkozásokra való kattintást, és mielőtt követi, alaposan ellenőrizze, honnan származik a hivatkozás. Tekintse meg a Rosszindulatú programok által okozott kockázatok és azok elkerülése című cikket .
Az NTFS, FAT32, exFAT a Windows fájlrendszerei, de konkrétan mi az NTFS, mi az a FAT32, mi az exFAT, mi a hasonlóságuk és különbségeik? Kérjük olvasóinkat, hogy olvassák el ezt a cikket.
A Telnet egy parancssori protokoll, amely különféle eszközök, például szerverek, számítógépek, útválasztók, kapcsolók, kamerák és tűzfalak távoli kezelésére szolgál.
Ha nem használ jelszót, hogyan fogja biztonságossá tenni fiókját? Mik azok a jelszó nélküli bejelentkezések és biztonságosak? Nézzük meg a Quantrimang.com segítségével a következő cikkben!
Amikor valaki az érzékeny adatok megőrzéséről beszél, valószínűleg hallani fogja az „adatsérülés” kifejezést. Tehát mi az „adatsérülés”, és hogyan javíthatja ki fájljait, ha valami elromlik?
Ahogy a minket körülvevő technológia fejlődik, a tűzfalakat is a felhőbe kell vinni, hogy lépést tudjunk tartani a trenddel. Ezért született meg a felhőtűzfal kifejezés.
A kódaláírás egy tanúsítvány alapú digitális aláírás használatának módszere egy szoftverhez, így az operációs rendszer és a felhasználók meg tudják állapítani annak biztonságát. Mi az a kóddal aláírt rosszindulatú program, és hogyan működik?
A virtuális magánhálózatok megfizethetőek, könnyen használhatók, és fontos összetevői a számítógépek és okostelefonok beállításainak. A tűzfal és a vírusirtó/kártevőirtó megoldás mellé VPN-t kell telepítenie, hogy minden online eltöltött pillanat teljesen privát legyen.
2017-ben a biztonsági kutatók naponta mintegy 23 000 rosszindulatú programmintát észleltek, ami óránként körülbelül 795 kártevőt jelent. Nemrég megjelent egy új, nagyon kifinomult rosszindulatú program, a Mylobot.
A decibel (dB) egy szabványos mértékegység, amelyet a vezetékes és vezeték nélküli hálózati jelek erősségének mérésére használnak.
A Catalyst Control Center az illesztőprogramhoz mellékelt segédprogram, amely segíti az AMD videokártyák működését. CCC.exe néven jelenik meg a felhasználó Feladatkezelőjében, és a legtöbb esetben soha nem kell emiatt aggódnia.
