Nieuws
image

Onderzoek: Malware vaker gesigneerd met legitieme certificaten

vrijdag 23 februari 2018, 10:21 door Redactie, 4 reacties

Malware is steeds vaker gesigneerd met legitieme certificaten die in naam van legitieme bedrijven zijn aangevraagd, wat het lastiger voor beveiligingssoftware maakt om de malware te detecteren. Dat stelt securitybedrijf Recorded Future in een nieuw onderzoek (pdf).

Softwareontwikkelaars kunnen hun programma's via certificaten signeren, zodat ze bijvoorbeeld door het besturingssysteem of beveiligingssoftware worden vertrouwd. In het geval van ongesigneerde software kan het besturingssysteem een waarschuwing laten zien of vereisen dat er extra stappen voor de installatie zijn vereist. Certificaten kunnen bij een certificaatautoriteit worden aangevraagd. Deze partijen controleren de aanvrager en geven dan pas het certificaat uit.

Voor een aanvaller heeft het verschillende voordelen om zijn of haar malware te signeren. Hiervoor moet echter een certificaat worden verkregen. In het verleden zijn er meerdere malware-aanvallen geweest waarbij aanvallers de certificaten van bedrijven stalen, om daarmee hun malware te signeren. Er is echter ook een markt waar certificaten op aanvraag worden geregeld, met de gegevens van legitieme bedrijven, aldus Recorded Future.

"In tegenstelling tot wat vaak wordt gedacht, dat de veiligheidscertificaten die in de ondergrond rondgaan van legitieme eigenaren zijn gestolen voordat ze bij aanvallen worden ingezet, hebben wij met een hoge mate van zekerheid vastgesteld dat de certificaten op verzoek van een specifieke koper worden aangemaakt en worden geregistreerd met gestolen zakelijke identiteiten, wat netwerkbeveiligingsapparaten minder effectief maakt", zo stelt het securitybedrijf.

De goedkoopste certificaten voor het signeren van code kosten 299 dollar, waarbij het meest uitgebreide Extended Validation (EV) certificaat met een SmartScreen reputatiebeoordeling voor 1599 dollar wordt aangeboden. De beginprijs van een domeinnaamregistratie met een EV SSL-certificaat is 349 dollar. Recorded Future besloot de aangeboden certificaten met een Remote Access Trojan (RAT) te testen. De RAT werd door acht anti-virusbedrijven gedetecteerd. Na het signeren van de code met een certificaat dat door de criminelen was geregeld wisten nog maar twee oplossingen de malware te detecteren.

Recorded Future verwacht niet dat deze vervalste certificaten vanwege de hoge kosten gemeengoed onder cybercriminelen zullen worden. Meer geraffineerde aanvallers en landen die zich met minder grootschalige en meer gerichte aanvallen bezighouden zullen dergelijke certificaten in hun operaties blijven gebruiken, aldus de conclusie van de onderzoekers.

Reacties (4)
23-02-2018, 11:24 door Anoniem
Zie ook discussie hier: https://www.security.nl/posting/551404/Psst%2C+certificaatje+kopen%3F
24-02-2018, 10:32 door Anoniem
Kunnen we aub gewoon het woord "ondertekend" gebruiken in plaats van deze rare vertaling?
24-02-2018, 10:35 door Anoniem
Ik hoop dat AV-leveranciers een keer wakker worden en niet meer blind vertrouwen op ondertekende software maar gewoon die binaries gaan scannen.
26-02-2018, 11:21 door buttonius
Door Anoniem 10:32: Kunnen we aub gewoon het woord "ondertekend" gebruiken in plaats van deze rare vertaling?
Natuurlijk kunnen we dat. Maar persoonlijk vind ik "gewaarmerkt" een betere term.

Het feit dat een papieren document door mij is ondertekend impliceert dat ik er ooit naar gekeken heb en het wel in orde vond. Dat is echter geen garantie dat het nadien niet is aangepast. De term "waarmerken" suggereert een soort echtheidskenmerk. En dat is ook wel ongeveer de betekenis van een digitaal certificaat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search