image

Gevaarlijke malware gesigneerd met Sony-certificaat

woensdag 10 december 2014, 09:43 door Redactie, 7 reacties
Laatst bijgewerkt: 10-12-2014, 13:42

Er is een nieuwe variant van de gevaarlijke malware ontdekt die aanvallers tegen Sony Pictures Entertainment hebben ingezet en die met een digitaal certificaat van het bedrijf is gesigneerd, zo laten onderzoekers weten. Het gaat om de "Destover" malware, die vorig jaar ook tegen Zuid-Koreaanse banken en televisiemaatschappijen werd ingezet. Op besmette computers steelt de malware gegevens en verwijdert vervolgens allerlei bestanden, waardoor de machines op dat moment onbruikbaar worden.

Bij de aanval op Sony hebben de aanvallers ook de privésleutels buitgemaakt en gepubliceerd die het bedrijf gebruikt om bestanden van een digitaal certificaat te voorzien. Ze kunnen echter ook worden gebruikt voor het signeren van malware, om vervolgens bij verdere aanvallen te worden ingezet, zo laat anti-virusbedrijf Kaspersky Lab weten. De nu ontdekt Destover-variant was op 5 december gesigneerd. Omdat de Sony-certificaten worden vertrouwd door beveiligingsoplossingen maakt dit aanvallen effectiever. Het digitale certificaat is inmiddels ingetrokken, zo laat certificaatautoriteit Digicert via Twitter weten.

Update 13:41

Beveiligingsonderzoeker Colin Keigher laat via Twitter weten dat het hier om een "grap" tussen beveiligingsonderzoekers gaat. Een onderzoeker die anoniem wilde blijven had het certificaat gevonden en ontdekte dat het wachtwoord de bestandsnaam was. Vervolgens signeerde deze onderzoeker de Destover-malware met het Sony-certificaat en uploadde het naar VirusTotal, waardoor het uiteindelijk bij Kaspersky Lab terechtkwam.

Reacties (7)
10-12-2014, 10:03 door Erik van Straten
Door Redactie: Bij de aanval op Sony hebben de aanvallers ook de digitale certificaten buitgemaakt en gepubliceerd die het bedrijf gebruikt voor het signeren van bestanden.
Aan die certificaten is niets geheim, ze worden met elk digitaal ondertekend bestand gedistribueerd.

Het probleem is dat de aanvallers één of meer private keys in handen hebben gekregen, horend bij evenzovele digitale (X.509) certificaten. Om precies te zijn, elke private key is gekoppeld aan 1 public key in 1 certificaat. Je hebt de private key nodig om digitaal te signeren.

Door Redactie: Het digitale certificaat is inmiddels ingetrokken, zo laat certificaatautoriteit Digicert via Twitter weten.
Dat is mooi, maar helaas zijn certificate revocation checks niet erg betrouwbaar. Google vindt ze bijvoorbeeld onzin, daarom checkt Android daar helemaal niet op. Nu is het wel zo dat Android apps niet met commercieel uitgegeven certificaten worden gesigneerd, dus de aanvallers hebben -voor Android- niet zoveel aan deze Sony sleutels. Niet iedereen weet dat, waardoor de mening van Google -m.i. onterecht- ook op andere markten uitstraalt. Met alle risico's van dien.
10-12-2014, 11:33 door Anoniem
[
Dat is mooi, maar helaas zijn certificate revocation checks niet erg betrouwbaar. Google vindt ze bijvoorbeeld onzin, daarom checkt Android daar helemaal niet op. Nu is het wel zo dat Android apps niet met commercieel uitgegeven certificaten worden gesigneerd, dus de aanvallers hebben -voor Android- niet zoveel aan deze Sony sleutels. Niet iedereen weet dat, waardoor de mening van Google -m.i. onterecht- ook op andere markten uitstraalt. Met alle risico's van dien.

Google heeft een ander protectiemechanisme [Google Play Store]. Op Chrome worden (SSL)-cert checks gewoon uitgevoerd.
Windows doet wel aan cert-checks, en daar richt [deze] malware zich op, dat is belangrijker.
Om nou te zeggen dat certificate revocation checks niet betrouwbaar zijn omdat Google het niet doet vindt ik een rare conclusie en zelfs een drogredenering.
10-12-2014, 13:00 door Anoniem
Als de schrijver van dit artikel wat research had gedaan, dan had hij/zij geweten dat dit een joke was tussen researchers.
bron: http://www.csoonline.com/article/2857659/disaster-recovery/destover-variant-signed-with-stolen-sony-certificate-was-part-of-a-joke.html
10-12-2014, 13:01 door Erik van Straten - Bijgewerkt: 10-12-2014, 13:02
10-12-2014, 11:33 door Anoniem: Google heeft een ander protectiemechanisme [Google Play Store]. Op Chrome worden (SSL)-cert checks gewoon uitgevoerd.
Niet "gewoon". Zie bijvoorbeeld https://scotthelme.co.uk/certificate-revocation-google-chrome/.

Zie https://www.imperialviolet.org/2014/04/19/revchecking.html voor de achtergronden hierbij.

10-12-2014, 11:33 door Anoniem: Windows doet wel aan cert-checks, en daar richt [deze] malware zich op, dat is belangrijker.
Die checks zijn, by default, fail-open. Dat wil zeggen dat als een CRL niet gedownload kan worden, of een OCSP responder niet bereikbaar is, ervan uitgegaan wordt dat het certificaat niet is ingetrokken.

Ik draai al jaren met Firefox zo ingesteld dat OCSP checks fail-safe zijn (een foutmelding als OCSP niet lukt). Ik kan je verzekeren dat dit regelmatig tot foutmeldingen leidt. En niet van de minste CSP's.

10-12-2014, 11:33 door Anoniem: Om nou te zeggen dat certificate revocation checks niet betrouwbaar zijn omdat Google het niet doet vindt ik een rare conclusie en zelfs een drogredenering.
Ik zou graag willen dat je gelijk had.

Exact omdat Google OCSP checks in Chrome niet belangrijk vindt, is in de user interface van de Firefox instellingen de mogelijkheid om OCSP-checks mandatory (verplicht) te maken, verwijderd.

Uit https://bugzilla.mozilla.org/show_bug.cgi?id=1034360#c6:
2014-07-08 15:27:28 PDT, door David Keeler: As I understand it, Chrome doesn't even do OCSP anymore. Safari does appear to have this sort of preference buried somewhere in the system settings. From doing a bit of searching, I wasn't able to tell if Opera or Internet Explorer have similar preferences.

Voor aanvullende info over Firefox zie mijn bijdrage in https://www.security.nl/posting/410482/Mozilla+dicht+9+lekken+in+Firefox+34+en+schakelt+SSLv3+uit?channel=rss#posting410509.
10-12-2014, 16:38 door Anoniem
Door Erik van Straten:

Exact omdat Google OCSP checks in Chrome niet belangrijk vindt, is in de user interface van de Firefox instellingen de mogelijkheid om OCSP-checks mandatory (verplicht) te maken, verwijderd.

'Geen' probleem, in de Firefox ESR 31.3.0 versie is zij nog wel aanwezig als zichtbare instelling.
Wat echt jammer is is dat Firefox het niet standaard geactiveerd heeft, dan doet het er ook niet meer zo toe of die instelling wel of niet zichtbaar is.

Daarnaast is het zo dat als je als gebruiker die instelling had geactiveerd, dit in je Firefox profiel is opgeslagen en onveranderd blijft met de nieuwe Firefox versie waarin deze instelling niet meer zichtbaar is.

Kortom, het verwijderen van de functie uit de zichtbare voorkeuren is vooral jammer voor nieuwe gebruikers van de standaard Firefox versie en diegenen die de functie nog niet geactiveerd hadden, zolang Firefox het niet default activeert. Misschien komt dat ooit nog.
10-12-2014, 19:55 door Anoniem
Door Anoniem: Als de schrijver van dit artikel wat research had gedaan, dan had hij/zij geweten dat dit een joke was tussen researchers.
bron: http://www.csoonline.com/article/2857659/disaster-recovery/destover-variant-signed-with-stolen-sony-certificate-was-part-of-a-joke.html
Joke of niet: een certificaat wordt niet voor niets ingetrokken.
11-12-2014, 00:27 door Erik van Straten - Bijgewerkt: 11-12-2014, 07:20
10-12-2014, 19:55 door Anoniem:
Door Anoniem: Als de schrijver van dit artikel wat research had gedaan, dan had hij/zij geweten dat dit een joke was tussen researchers.
bron: http://www.csoonline.com/article/2857659/disaster-recovery/destover-variant-signed-with-stolen-sony-certificate-was-part-of-a-joke.html
Joke of niet: een certificaat wordt niet voor niets ingetrokken.
Inderdaad. Er vanuit gaande dat het hier niet gaat om een Sony medewerker (met legitieme toegang tot de private key) die deze "grap" uithaalde, moet een aanvaller in het bezit zijn van de private key (of toegang hebben gehad tot de code signing server - die vaak deel uitmaakt van een build-straat). Dat is een goede reden om alle certificaten, met de public key horende bij de gestolen private key, in te trekken.

Zie ook mijn bijdrage in https://isc.sans.edu/forums/diary/Malware+Signed+With+Valid+SONY+Certificate+Update+This+was+a+Joke/19049/1#32697.

Aanvulling 07:20: sorry, ik had de artikelen niet goed gelezen. Ik maak er nu uit op dat zich onder de gelekte documenten ook een versleuteld bestand met private key voor code-signing bevond. Een onderzoeker, die anoniem wil blijven, heeft ontdekt wat het wachtwoord was van het versleutelde bestand (naar verluidt de bestandsnaam zelf) en heeft toegang gekregen tot de private key. Daarmee heeft de onderzoeker de Destover malware gesigneerd en geupload naar Virustotal, vermoedelijk om "aan de wereld" kenbaar te maken dat de betreffende private key is gelekt.

Dat is natuurlijk geen "grap" (in de zin van humor), maar verstandig als je als onderzoeker ergens voor wilt waarschuwen terwijl je tegelijkertijd anoniem wilt blijven.

Nb. als de onderzoeker kwaadwillend was geweest, had hij die private key op de zwarte markt verkocht. Aan de andere kant, vroeger of later is er altijd wel weer iemand anders die zo'n private key ontdekt en daar kwaad mee doet.

In elk geval is het helemaal terecht dat een certificaat is ingetrokken, want er ligt een private key "op straat".
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.