Propaganda

A assinatura de código é a prática de assinar criptograficamente um software para que o sistema operacional e seus usuários possam verificar se é seguro. A assinatura de código funciona bem, em geral. Na maioria das vezes, apenas o software correto usa sua assinatura criptográfica correspondente.

Os usuários podem baixar e instalar com segurança, e os desenvolvedores protegem a reputação de seus produtos. No entanto, hackers e distribuidores de malware estão usando esse sistema exato para ajudar o código mal-intencionado a escapar dos pacotes de antivírus e outros programas de segurança.

Como o malware e o ransomware com código assinado funcionam?

O que é malware com código assinado?

Quando o software é assinado por código, significa que ele possui uma assinatura criptográfica oficial. Uma autoridade de certificação (CA) emite o software com um certificado confirmando que o software é legítimo e seguro de usar.

Melhor ainda, seu sistema operacional cuida dos certificados, verificação de código e verificação, para que você não precise se preocupar. Por exemplo, o Windows usa o que é conhecido como

instagram viewer
uma cadeia de certificados. A cadeia de certificados consiste em todos os certificados necessários para garantir que o software seja legítimo a cada passo do caminho.

“Uma cadeia de certificados consiste em todos os certificados necessários para certificar o sujeito identificado pelo certificado final. Na prática, isso inclui o certificado final, os certificados das CAs intermediárias e o certificado de uma CA raiz confiável por todas as partes da cadeia. Toda autoridade de certificação intermediária da cadeia mantém um certificado emitido pela autoridade de certificação um nível acima na hierarquia de confiança. A CA raiz emite um certificado para si mesma. ”

Quando o sistema funciona, você pode confiar no software. A CA e o sistema de assinatura de código requerem uma enorme confiança. Por extensão, o malware é malicioso, não confiável e não deve ter acesso a uma Autoridade de Certificação ou assinatura de código. Felizmente, na prática, é assim que o sistema funciona.

Até os desenvolvedores e hackers de malware encontrarem uma maneira de contornar isso, é claro.

Hackers roubam certificados de autoridades de certificação

Seu antivírus sabe que o malware é malicioso porque tem um efeito negativo no seu sistema. Ele dispara avisos, os usuários relatam problemas e o antivírus pode criar uma assinatura de malware para proteger outros computadores usando a mesma ferramenta antivírus.

No entanto, se os desenvolvedores de malware puderem assinar seu código malicioso usando uma assinatura criptográfica oficial, nada disso acontecerá. Em vez disso, o malware com código assinado passará pela porta da frente enquanto o antivírus e o sistema operacional desenrolam o tapete vermelho.

Pesquisa Trend Micro constatou que existe todo um mercado de malware que suporta o desenvolvimento e a distribuição de malware assinado por código. Os operadores de malware obtêm acesso a certificados válidos que eles usam para assinar código malicioso. A tabela a seguir mostra o volume de malware usando a assinatura de código para evitar antivírus, a partir de abril de 2018.

tabela de tipos de malware assinado por código de tendência micro

A pesquisa da Trend Micro descobriu que cerca de 66% dos malwares amostrados eram assinados por código. Além disso, certos tipos de malware vêm com mais instâncias de assinatura de código, como cavalos de Tróia, conta-gotas e ransomware. (Aqui estão sete maneiras de evitar um ataque de ransomware 7 maneiras de evitar ser atingido pelo RansomwareO ransomware pode literalmente arruinar sua vida. Você está fazendo o suficiente para evitar a perda de seus dados pessoais e fotos por extorsão digital? consulte Mais informação !)

De onde vêm os certificados de assinatura de código?

Os distribuidores e desenvolvedores de malware têm duas opções em relação ao código assinado oficialmente. Os certificados são roubados de uma autoridade de certificação (diretamente ou para revenda), ou um hacker pode tentar imitar uma organização legítima e falsificar seus requisitos.

Como seria de esperar, uma Autoridade de Certificação é um alvo tentador para qualquer hacker.

Não são apenas os hackers que estão alimentando o aumento do malware com código assinado. Fornecedores supostamente inescrupulosos com acesso a certificados legítimos vendem certificados confiáveis ​​de assinatura de código para desenvolvedores e distribuidores de malware também. Uma equipe de pesquisadores de segurança da Universidade Masaryk na República Tcheca e do Maryland Cybersecurity Center (MCC) descobriu quatro organizações que vendem [PDF] Certificados Microsoft Authenticode para compradores anônimos.

"As medições recentes do ecossistema de certificados de assinatura de código do Windows destacaram várias formas de abuso que permitem que os autores de malware produzam códigos maliciosos com assinaturas digitais válidas".

Quando um desenvolvedor de malware possui um certificado Microsoft Authenticode, ele pode assinar qualquer malware na tentativa de negar a assinatura de código de segurança do Windows e a defesa baseada em certificado.

Em outros casos, em vez de roubar os certificados, um hacker compromete um servidor de criação de software. Quando uma nova versão do software é lançada ao público, ela carrega um certificado legítimo. Mas um hacker também pode incluir seu código malicioso no processo. Você pode ler sobre um exemplo recente desse tipo de ataque abaixo.

3 exemplos de malware com código assinado

Então, como é o malware com código assinado? Aqui estão três exemplos de malware com código assinado:

  1. Malware Stuxnet. O malware responsável por destruir o programa nuclear iraniano usou dois certificados roubados para propagar, além de quatro explorações diferentes de dia zero. Os certificados foram roubados de duas empresas separadas - JMicron e Realtek - que compartilhavam um único edifício. O Stuxnet usou os certificados roubados para evitar o requisito do Windows, então introduzido recentemente, de que todos os drivers exigissem verificação (assinatura do driver).
  2. Violação de servidor Asus. Entre junho e novembro de 2018, os hackers violaram um servidor Asus que a empresa usa para enviar atualizações de software aos usuários. Pesquisadores da Kaspersky Lab descobriu que em torno de 500.000 máquinas Windows receberam a atualização maliciosa antes que alguém percebesse. Em vez de roubar os certificados, os hackers assinaram seu malware com certificados digitais legítimos da Asus antes que o servidor do software distribuísse a atualização do sistema. Felizmente, o malware foi altamente direcionado e codificado para pesquisar 600 máquinas específicas.
  3. Malwares em chamas. A variante de malware modular Flame tem como alvo países do Oriente Médio, usando certificados assinados de forma fraudulenta para evitar a detecção. (De qualquer forma, o que é malware modular Malware modular: o novo ataque furtivo que rouba seus dadosO malware tornou-se mais difícil de detectar. O que é malware modular e como você o impede de causar estragos no seu PC? consulte Mais informação ?) Os desenvolvedores do Flame exploraram um algoritmo criptográfico fraco para assinar falsamente os certificados de assinatura de código, fazendo parecer que a Microsoft os havia assinado. Ao contrário do Stuxnet, que carregava um elemento destrutivo, o Flame é uma ferramenta para espionagem, buscando PDFs, arquivos do AutoCAD, arquivos de texto e outros tipos importantes de documentos industriais.

Como evitar malware com código assinado

Três variantes de malware diferentes, três tipos diferentes de ataque de assinatura de código. A boa notícia é que a maioria dos malwares desse tipo é, pelo menos no momento, altamente direcionada.

O outro lado é que, devido à taxa de sucesso dessas variantes de malware que usam assinatura de código para evitar detecção, espere que mais desenvolvedores de malware usem a técnica para garantir que seus próprios ataques sejam bem sucedido.

Além disso, a proteção contra malware com código assinado é extremamente difícil. Manter o seu sistema e antivírus atualizado é essencial, evite clicar em links desconhecidos e verifique novamente onde qualquer link está levando você antes de segui-lo.

Além de atualizar seu antivírus, consulte nossa lista de como você pode evitar malware Software antivírus não é suficiente: 5 coisas que você deve fazer para evitar malwareMantenha-se protegido online após instalar o software antivírus, seguindo estas etapas para uma computação mais segura. consulte Mais informação !

Gavin é escritor sênior do MUO. Ele também é o editor e gerente de SEO do site irmão de MakeUseOf, Blocks Decoded. Ele tem uma redação contemporânea BA (Hons) com práticas de arte digital saqueadas nas montanhas de Devon, além de mais de uma década de experiência profissional em redação. Ele gosta de grandes quantidades de chá.