Bij D-Link gestolen certificaat gebruikt voor malware
Aanvallers zijn erin geslaagd om certificaten van netwerkbedrijf D-Link en Changing Information Technologies te stelen die worden gebruikt voor het signeren van software en hebben daarmee hun malware gesigneerd. De gestolen certificaten werden gebruikt voor het signeren van de Plead-malware en een gerelateerde wachtwoordsteler.
De Plead-malware is een backdoor die aanvallers op afstand volledige controle over het systeem geeft, zo meldt anti-virusbedrijf ESET. Via de wachtwoordsteler werden in Google Chrome, Internet Explorer, Microsoft Outlook en Mozilla Firefox opgeslagen wachtwoorden gestolen. Het bij D-Link gestolen certificaat werd op 3 juli ingetrokken, een dag later volgde het certificaat van Changing Information Technology. Toch maken de aanvallers nog steeds van dit laatste certificaat gebruik voor het signeren van hun malware.
Hoe de aanvallers de certificaten konden stelen is onbekend. Door hun malware met de gestolen certificaten te signeren konden de aanvallers die als legitieme applicatie voordoen en heeft de malware een grotere kans om niet te worden opgemerkt. Het komt vaker voor dat aanvallers gestolen certificaten voor hun malware gebruiken. Een bekend voorbeeld is de Stuxnet-worm die gebruikmaakte van certificaten die bij RealTeak en JMicron waren gestolen.
Volgens anti-virusbedrijf Trend Micro is de Plead-malware tegen de Taiwanese overheid en private organisaties ingezet. De aanvallers hebben het daarbij vooral op vertrouwelijke documenten voorzien. Om de malware te verspreiden maken de aanvallers gebruik van spearphishingmails die een kwaadaardige bijlage bevatten of naar de malware linken. De meegestuurde of gelinkte bestanden doen zich voor als documenten en maken gebruik van de right-to-left-override (RTLO) techniek om de bestandsextensie van de malware te verbergen.
Code-signing certificaten worden samen met de digitaal ondertekende bestanden (meestal binaries, maar dat hoeft niet) verspreid (meestal samen met 1 of meer intermediate certificaten), net zoals elke https server haar server certificaat (eveneens meestal samen met 1 of meer intermediate certificaten) automatisch naar jouw webbrowser stuurt zodra je zo'n website bezoekt.
Code-signing vindt plaats met een private key, horend en passend bij de public key in een certificaat. Als je een kopie van zo'n private key hebt, kun je namens de eigenaar (genoemd in het certificaat) bestanden ondertekenen. Het is dus zaak om private keys zeer goed te beschermen.
Het is ook belangrijk om "buildstraten" grondig te beschermen indien code signing daarin automatisch plaatsvindt. Als een aanvaller toegang weet te krijgen tot zo'n "buildstraat", heeft zij geen directe toegang tot de private key nodig om toch malware gesigneerd te krijgen, zoals Adobe in 2012 ondervond (zie https://www.security.nl/posting/38210/Hackers+signeren+malware+met+Adobe+certificaat).
https://www.welivesecurity.com/2018/07/09/certificates-stolen-taiwanese-tech-companies-plead-malware-campaign/
Security.nl zou zich moeten onderscheiden van alle sites die deze onzin klakkeloos overnemen, want desinformatie kan goedbedoelende mensen op het verkeerde been zetten - en daar schiet niemand (behalve cybercriminelen) iets mee op.
Overigens is D-Link in 2015 al in de fout gegaan met gelekte private keys (zie de links hieronder). Ik ben benieuwd of de private keys deze keer via een inbraak zijn gestolen, of dat zij opnieuw door D-Link zelf op github o.i.d. zijn gepubliceerd.
https://www.security.nl/posting/444688/Microsoft+zegt+vertrouwen+op+in+4+certificaten+van+D-Link
https://tweakers.net/nieuws/105137/d-link-blundert-met-vrijgeven-privesleutels-van-certificaten.html
https://www.theregister.co.uk/2015/09/18/d_link_code_signing_key_leak/
https://security.stackexchange.com/questions/100700/has-the-leaked-d-link-windows-signing-key-been-revoked/100714#100714
(Overigens lijkt Tweakers vanavond problemen te hebben met hun site).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.