توقيع رقمي يستخدم بواسطة البرامج الضارة التي أصابت شبكة Kaspersky Lab في عام 2014. شهادات مزيفة تنشئ مثل هذا تباع التواقيع الاحتيالية على الإنترنت للاستخدام في مواقع أخرى malware.Kaspersky Lab
دودة Stuxnet التي استهدفت البرنامج النووي الإيراني تقريبا منذ عقد من الزمان كانت نقطة تحول للبرامج الضارة لمجموعة متنوعة من أسباب. أهمها استخدام شهادات التشفير الانتماء إلى شركات شرعية لتشهد زورا ل جدير بالثقة من البرمجيات الخبيثة. في العام الماضي ، علمنا ذلك البرامج الضارة الموقعة بشكل احتيالي كانت أكثر انتشارًا من السابق يعتقد. في يوم الخميس ، كشف الباحثون عن أحد الأسباب المحتملة: الخدمات السرية التي باعت منذ عام 2011 توقيع مزيف بيانات اعتماد فريدة لكل مشتر.
قراءة متعمقة
يعد توقيع رمز Stuxnet أكثر انتشارًا من أي شخص يعتقد في في كثير من الحالات ، تكون الشهادات مطلوبة لتثبيت البرنامج على أجهزة الكمبيوتر التي تعمل بأنظمة تشغيل Windows و macOS ، بينما في أجهزة أخرى ، تمنع أنظمة التشغيل من عرض التحذيرات من أن البرنامج يأتي من غير موثوق به مطور. الشهادات أيضا زيادة فرص ذلك لن تقوم برامج مكافحة الفيروسات بوضع علامة على الملفات غير المرئية مسبقًا على أنها ضارة. تقرير صادر عن مزود الاستخبارات المسجلة تهديد المستقبل وقال أنه ابتداء من العام الماضي ، رأى الباحثون زيادة مفاجئة في شهادات احتيالية صادرة عن المتصفح والتشغيل موفرو النظام الموثوق بهم الذين تم استخدامهم للتوقيع على البرامج الضارة الأواني. قاد الارتفاع الباحثين المستقبل المسجلة للتحقيق القضية. ما وجدوه كان مفاجئا.
“على عكس الاعتقاد الشائع بأن الشهادات الأمنية المتداولة في تحت الأرض الجنائية سرقت من شرعية أصحاب قبل استخدامها في الحملات الشائنة ، أكدنا مع درجة عالية من اليقين أن يتم إنشاء الشهادات لمشتري معين لكل طلب فقط ويتم تسجيل باستخدام هويات الشركات المسروقة ، مما يجعل أمن الشبكات التقليدية الأجهزة أقل فعالية ، “أندريه Barysevich ، باحث في المستقبل المسجل ، ذكرت.
حدد Barysevich أربعة من هؤلاء البائعين من التزييف شهادات منذ عام 2011. اثنان منهم لا يزالون في العمل اليوم. ال عرضت البائعين مجموعة متنوعة من الخيارات. في عام 2014 ، مزود واحد يدعو نفسه أعلن C @ T الشهادات التي تستخدم مايكروسوفت التكنولوجيا المعروفة باسم Authenticode لتوقيع الملفات القابلة للتنفيذ و البرامج النصية البرمجة التي يمكن تثبيت البرنامج. عرضت C @ T شهادات توقيع الكود لتطبيقات ماك. رسومه: أعلى من 1،000 دولار لكل شهادة.
“في إعلانه ، أوضح C @ T أن الشهادات هي مسجل تحت شركات شرعية ويصدر من قبل كمودو ، Thawte و Symantec – أكبر المصدرين وأكثرهم احتراماً ” وقال تقرير يوم الخميس. “أشار البائع إلى أن كل شهادة هي فريدة من نوعها وسيتم تعيينها فقط إلى مشتر واحد ، والتي يمكن يمكن التحقق منها بسهولة عبر HerdProtect.com. وفقا ل C @ T ، و يزيد معدل نجاح عمليات تحميل الحمولة النافعة من الملفات الموقعة بنسبة 30 إلى 50 في المائة ، واعترف حتى ببيع أكثر من 60 شهادات في أقل من ستة أشهر. ”
تضاءلت أعمال C @ T في السنوات المقبلة كمقدمي خدمات آخرين تقويض أسعاره. قدمت خدمة منافسة واحدة عارية شهادة توقيع الشفرة مقابل 299 دولار. مقابل 1،599 دولار ، باعت الخدمة أ شهادة توقيع مع التحقق من الصحة الموسعة – مما يعني أنه تم إصدارها إلى اسم شركة أو نشاط تجاري تم التحقق منه بواسطة المصدر. هذا السعر المميز كفل الشهادة أيضًا التحقق من صحة الشاشة الذكية تحقق من أداء برامج Microsoft المختلفة حماية المستخدمين من التطبيقات الضارة. حزمة كاملة مجالات الإنترنت المصادقة مع تشفير EV SSL والرمز ويمكن أيضا شراء قدرات التوقيع بمبلغ 1799 دولار. نفس الشيء تم بيع الخدمة لشهادات TLS للتحقق من الصحة لمواقع الويب ابتداء من 349 دولار. تباع منافسة C @ T مختلفة تم فحصها بشدة شهادات الفئة 3 بمبلغ 600 دولار.
EnlargeRecorded مستقبل
“وفقا للمعلومات المقدمة من كلا البائعين خلال أ محادثة خاصة ، لضمان إصدار وعمر المنتجات ، يتم تسجيل جميع الشهادات باستخدام معلومات كتب شركات حقيقية ، “Barysevich.” مع درجة عالية من الثقة ، ونحن نعتقد أن أصحاب الأعمال المشروعة هم غير مدركين أن بياناتهم استخدمت في الأنشطة غير المشروعة. أنه من المهم ملاحظة أن جميع الشهادات يتم إنشاؤها لكل مشتر بشكل فردي مع متوسط وقت التسليم من اثنين إلى أربعة أيام.”
استخدام شهادات التوقيع المشروعة للتحقق من التطبيقات الضارة وشهادات TLS الشرعية لمصادقة أسماء النطاقات التي توزيع هذه التطبيقات يمكن أن تجعل الحماية الأمنية أقل فعال. قدم باحثو المستقبل المسجّلون بائعًا واحدًا طروادة غير المبلغ عنها عن بعد وأقنع البائع بالتوقيع عليه بشهادة تم إصدارها مؤخرًا بواسطة Comodo. فقط اكتشف ثمانية من أفضل مزودي AV نسخة مشفرة من حصان طروادة. اكتشف محركان AV فقط نفس الملف المشفر عند تم التوقيع عليه من قبل شهادة كمودو.
“ظهرت المزيد من النتائج المزعجة بعد نفس الاختبار أجريت للحصول على نسخة غير المقيمين من الحمولة ، “Barysevich ذكرت. “في هذه الحالة ، كانت ست شركات فقط قادرة على الكشف عن نسخة مشفرة ، وحماية Endgame فقط تعرف على الملف باعتباره ضارًا. ”
في حين أن تقرير يوم الخميس يظهر مدى سهولة تجاوز الكثير من الحماية التي توفرها متطلبات توقيع الرمز ، Barysevich قال أن الشهادات المزيفة من المحتمل أن تستخدم فقط في حملات متخصصة تستهدف عددًا صغيرًا من الأشخاص أو المنظمات.
“على الرغم من أن شهادات توقيع الأكواد يمكن استخدامها بشكل فعال في حملات البرامج الضارة واسعة النطاق مثل توزيع الخدمات المصرفية طروادة أو رانسومواري ، صحة الشهادة المستخدمة للتوقيع وأوضح أن الحمولة سوف يتم إبطالها بسرعة إلى حد ما “. “لذلك ، نعتقد أن العدد المحدود من مستخدمي الطاقة المتخصصة في حملات أكثر تطورا واستهدافا ، مثل تجسس الشركات ، هو القوة الدافعة الرئيسية وراء الجديد الخدمات.”