ダークウェブで販売される正規のデジタル署名証明書

ダークウェブで販売される正規のデジタル署名証明書

Mac や Windows をターゲットにしたマルウェア攻撃に関するニュースは、今日のインターネット ユーザーにとって決して目新しいものではありません。さらに悪いことに、ブート ウイルス、不正な添付ファイル、マクロ ウイルスなどの亜種がすでに脚光を浴びています。すべてはマルウェアで始まりマルウェアで終わると考えているなら、それは間違いです。これはこれから起こることの単なる兆候であり、これを警鐘と考えてください。

サイバー セキュリティ研究所 (CSRI) が実施した最近の調査では、デジタル コード署名証明書がどのように危険にさらされているかが明らかになりました。 Stuxnet ワームは、2005 年にイランの核濃縮プロセスを侵害するために使用された最初のこの種のワームです。デジタル コード署名証明書の悪用の最近の例は、CCleaner への攻撃でした。

デジタルコード署名証明書:

デジタル証明書は、個人または企業に ID を提供する ID カードのようなものです。これらは、信頼できる認証局 (CA) によって発行されます。

img src: SSL.org

認証局は、所有者の ID と権限を承認するためにデジタル証明書を発行します。公開キーは、他の識別情報とともに、個人または企業に発行される各デジタル証明書に埋め込まれます。これらの証明書は暗号署名されており、データの整合性が認証され、その使用が検証されます。

デジタル証明書を備えたコンピュータ アプリケーションまたはソフトウェアはコンピュータによって信頼され、警告メッセージを表示せずにプログラムの実行を許可します。

デジタル証明書は危険にさらされていますか?

合法的に署名されたデジタル証明書は、ダークウェブ上で最大 1,200 ドル (証明書あたり) の価格で販売されています。ハッカーはこれらの証明書を使用して悪意のあるコードを信頼できるソフトウェア ベンダーにリンクし、マルウェアが検出されるリスクを軽減します。したがって、標的のネットワークやユーザーのマシンのセキュリティを簡単にバイパスします。

心配する必要はありませんか?

メリーランド大学カレッジパーク校、Doowon Kim、BumJun Kwon、Tudor Dumitras のセキュリティ研究者チームは、デジタル署名されたマルウェアが蔓延していることを発見しました。合計 325 の署名付きマルウェア サンプルがすでに発見されています。そのうち 189 個が有効なデジタル署名を持っています。

「このような不正な署名は攻撃者にとって有益です。正規のサンプルから署名のないマルウェア サンプルに Authenticode 署名をコピーするだけで、マルウェアが AV 検出を回避できる可能性があることがわかりました。」

これらの証明書のうち 27 件が侵害されました。」と研究者らは述べました。 tes はすでに失効していますが、現時点では、残りの 84 個の証明書は失効するまでシステムによって信頼され続けます。

「マルウェア ファミリの大部分 (88.8%) は 1 つの証明書に依存しており、これは、不正な証明書は、サードパーティではなくマルウェア作成者によってほとんど管理されています」とこの 3 人は述べています (メリーランド大学カレッジパーク校の Doowon Kim、BumJun Kwon、Tudor Dumitras)。

出典: thehackernews.com

証明書が取り消された後でも、サイバー犯罪者による証明書の悪用はすぐには阻止されないことが研究者らによって判明しました。一部のウイルス対策プログラムは、失効した証明書内の悪意のあるプログラムを認識できないためです。つまり、悪意のあるコードは何の障害もなくシステム上で実行されます。

ハッカーは、悪意のあるコードを、Microsoft が署名した有効な Windows システム ファイルまたは Microsoft Office ファイルに簡単に追加できます。したがって、Microsoft によって署名されたファイルはセキュリティ プログラムのホワイトリストに追加されるため、セキュリティ アプリケーションから隠蔽されます。これは、重要なシステム ファイルの削除やシステム クラッシュを引き起こす可能性のある誤検出を避けるために行われます。
保護を維持するにはどうすればよいですか?

「デジタル署名されたマルウェアは、有効な署名を持つプログラムのみをインストールまたは起動するシステム保護メカニズムをバイパスします。」論文「Certified Malware: Measuring Breaches of Trust in the Windows Code-Signing PKI」を読んでいます。

これは確かに深刻な問題であり、ハッカーが有効な証明書にアクセスできるということは、何も安全ではないことを意味します。ウイルス対策プログラムやシステムはこれらの脅威を識別できません。ウイルス対策プログラムを回避するのが簡単になりました。

signedmalware.org で、攻撃者によって悪用された証明書のリストを確認できます。

読み取り: 0

yodax

最近の追加

Nintendo Switch でもう一度プレイしたい 10 の古典的なゲーム

Nintendo Switch でもう一度プレイしたい 10 の古典的なゲーム

2017 年を形作るテクノロジー トレンド

2017 年を形作るテクノロジー トレンド

Android VPN アプリのベスト 10 – Android 用 VPN アプリのトップ 10 (無料)

Android VPN アプリのベスト 10 – Android 用 VPN アプリのトップ 10 (無料)

なぜパスワード保護は時代遅れのセキュリティ対策なのでしょうか?

なぜパスワード保護は時代遅れのセキュリティ対策なのでしょうか?

iPhoneをクラッシュさせる可能性のあるテキストメッセージ

iPhoneをクラッシュさせる可能性のあるテキストメッセージ

ビッグデータ向けのトップ 11 クラウド ストレージ ツール

ビッグデータ向けのトップ 11 クラウド ストレージ ツール

Gmail がフィッシング攻撃の最新の被害者!

Gmail がフィッシング攻撃の最新の被害者!

ウイルス対策で最高の保護を確実に提供するにはどうすればよいですか?

ウイルス対策で最高の保護を確実に提供するにはどうすればよいですか?

ビッグデータ: 時間の経過とともにシナリオがどのように変化したか、その影響と将来の見通し

ビッグデータ: 時間の経過とともにシナリオがどのように変化したか、その影響と将来の見通し

ランサムウェアは進化しました - 「Doxware」は最新種です!

ランサムウェアは進化しました - 「Doxware」は最新種です!