Le notizie sugli attacchi malware rivolti a Mac o Windows non sono certamente una novità per gli utenti di Internet di oggi. A peggiorare le cose, varianti come virus di avvio, file allegati non autorizzati e virus macro sono già venute alla ribalta. Se pensi che tutto inizi e finisca con il malware, ti sbagli. È solo un segno di cose che devono ancora venire, consideralo un campanello d'allarme.
Un recente studio condotto dal Cyber Security Research Institute (CSRI) ha rivelato quanto siano a rischio i certificati di firma del codice digitale. Il worm Stuxnet è stato il primo di questo tipo ad essere utilizzato per compromettere il processo di arricchimento nucleare iraniano nel 2005. Un recente esempio di abuso del certificato di firma del codice digitale è stato l'attacco a CCleaner.
Digitale Certificati di firma codice:
Un certificato digitale è come una carta d'identità, che fornisce un'identità a un individuo o un'azienda. Sono emessi da un'autorità di certificazione (CA) attendibile.
img src: SSL.org
Le autorità di certificazione emettono certificati digitali per approvare l'identità e l'autorità del titolare. Una chiave pubblica insieme ad altre informazioni identificative sono incorporate in ogni certificato digitale rilasciato a un individuo o a un'azienda. Questi certificati sono firmati crittograficamente, autenticando l'integrità dei dati e convalidandone l'utilizzo.
Un'applicazione o un software per computer con certificato digitale è considerato attendibile dal computer e consente l'esecuzione del programma senza alcun messaggio di avviso.
Come sono Certificati Digitali a Rischio?I certificati digitali firmati legittimamente sono in vendita sul Dark Web a un prezzo fino a 1.200 $ (per certificato). Gli hacker utilizzano questi certificati per collegare il proprio codice dannoso a fornitori di software affidabili, riducendo il rischio di rilevamento di malware. Pertanto, aggirano facilmente le reti prese di mira e la sicurezza dei computer degli utenti.
Devo preoccuparmi?
Un team di ricercatori di sicurezza dell'Università del Maryland, College Park, Doowon Kim, BumJun Kwon e Tudor Dumitras hanno scoperto che il malware con firma digitale è prevalente. Sono già stati scoperti un totale di 325 campioni di malware firmati. Di cui 189 hanno firme digitali valide.
"Tali firme malformate sono utili per un avversario: scopriamo che copiare semplicemente una firma Authenticode da un campione legittimo a un campione di malware non firmato può aiutare il malware a bypassare il rilevamento AV ”, hanno detto i ricercatori.
27 di questi certificati compromessi sono già stati revocati, anche se per ora i restanti 84 certificati sono ancora considerati attendibili dal sistema fino alla revoca.
“Un'ampia frazione (88,8%) delle famiglie di malware si affida a un singolo certificato, il che suggerisce che il i certificati abusivi sono per lo più controllati dagli autori del malware piuttosto che da terze parti", hanno affermato i tre (Doowon Kim, BumJun Kwon e Tudor Dumitras dell'Università del Maryland, College Park).
Src: thehackernews.com
Anche dopo la revoca dei certificati, i ricercatori hanno scoperto che ai criminali informatici non verrà impedito immediatamente di abusarne. Poiché alcuni programmi antivirus non riescono a riconoscere il programma dannoso nei certificati revocati. Cioè, il codice dannoso verrà eseguito sul sistema senza alcun ostacolo.
Gli hacker possono facilmente aggiungere il codice dannoso a qualsiasi file di sistema Windows valido firmato Microsoft o al file di Microsoft Office. Pertanto, nascondendosi dalle applicazioni di sicurezza i file firmati da Microsoft vengono aggiunti alla whitelist del programma di sicurezza. Questo viene fatto per evitare falsi rilevamenti che possono causare la cancellazione di file di sistema critici e il crash del sistema.
Cosa posso fare per rimanere protetto?
- Mantieni sempre aggiornati il tuo sistema operativo e i tuoi browser.
- Evita di aggiungere nuove CA alla zona dei certificati radice.
- Blocca un file dal download fornito da uno sviluppatore sconosciuto.
- Tieni sempre traccia dei certificati attendibili.
- Installa soluzioni di sicurezza endpoint
"Il malware firmato digitalmente può bypassare i meccanismi di protezione del sistema che installano o avviano solo programmi con firme valide." si legge nel documento "Malware certificato: misurazione delle violazioni di fiducia nella PKI di firma del codice di Windows".
Questa è davvero una questione seria, poiché gli hacker hanno accesso ai certificati validi significa che nulla è sicuro. Poiché un programma antivirus e il sistema non saranno in grado di identificare queste minacce. Ora è facile eludere un programma antivirus.
Puoi controllare l'elenco dei certificati utilizzati in modo improprio dagli aggressori su signedmalware.org.
leggi: 0
