Z danych Kaspersky Lab wynika, że liczba niezaufanych certyfikatów wykorzystywanych do podpisywania szkodliwego oprogramowania zwiększyła się dwukrotnie w ciągu ubiegłego roku i wynosi ponad 6 000. Wniosek jest jeden – pliki podpisane cyfrowo należy dodatkowo kontrolować przed uruchomieniem.
„Twórcy szkodliwego oprogramowania kradną oraz imitują legalne sygnatury, aby przekonać użytkowników oraz systemy operacyjne, że dany plik jest bezpieczny. Kaspersky Lab od wielu lat obserwuje wykorzystywanie tej techniki przez cyberprzestępców odpowiedzialnych za zaawansowane długotrwałe zagrożenia” – powiedział Andriej Ladikow, szef działu badań strategicznych, Kaspersky Lab.
Biorąc pod uwagę wzrastającą liczbę zagrożeń związanych z podpisywaniem szkodliwych plików, eksperci z Kaspersky Lab zalecają użytkownikom, a w szczególności administratorom sieci firmowych, aby nie zezwalali na uruchamianie plików wyłącznie na podstawie podpisów.
Niesławny robak Stuxnet wykorzystywał certyfikaty skradzione z firm Realtek oraz JMicron. Gang Winnti kradł certyfikaty ze zhakowanych firm zajmujących się tworzeniem gier oraz wykorzystywał je w nowych atakach. Co więcej, znane są przykłady wykorzystania tych samych certyfikatów w atakach przeprowadzanych przez inne grupy cyberprzestępców, co sugeruje istnienie dobrze prosperującego czarnego rynku. Grupa stojąca za kampanią cyberszpiegowską Darkhotel zwykle podpisywała cyfrowo swoje moduły i najprawdopodobniej posiadała dostęp do sekretnych kluczy niezbędnych do generowania fałszywych certyfikatów.
Aby zmniejszyć ryzyko uruchomienia na komputerze nowego szkodliwego oprogramowania, które posiada – według systemu operacyjnego – ważny certyfikat cyfrowy, niezbędne jest zapewnienie zwiększonej kontroli nad podpisanymi plikami przy użyciu skutecznej ochrony antywirusowej oraz przestrzeganie podstawowych zasad bezpieczeństwa:
1. Wprowadź zakaz uruchamiania programów, które są podpisane cyfrowo przez nieznanego twórcę oprogramowania: większość skradzionych certyfikatów pochodzi od drobnych twórców.
2. Nie instaluj certyfikatów pochodzących z nieznanych centrów certyfikacji.
3. Nie zezwalaj na uruchomienie programów podpisanych przez zaufane certyfikaty wyłącznie na podstawie nazwy certyfikatu. Sprawdź inne atrybuty, takie jak numer seryjny oraz cyfrowy odcisk palca certyfikatu.
4. Zainstaluj aktualizację Microsoft MS13-098 usuwającą błąd, który powala na zapisanie dodatkowych danych (także niebezpiecznych) w plikach podpisanych cyfrowo.
5. Korzystaj z rozwiązania antywirusowego, które posiada własną bazę zaufanych i niezaufanych certyfikatów.
źródło: Kaspersky Lab
Czy ten artykuł był pomocny?
Oceniono: 0 razy