Kas yra kenkėjiška programa, pasirašyta pagal kodą, ir kaip jos išvengti?

Skelbimas

Kodo pasirašymas yra praktika kriptografiškai pasirašyti programinę įrangą, kad operacinė sistema ir jos vartotojai galėtų patikrinti, ar ji saugi. Kodo pasirašymas veikia gerai. Didžiąją laiko dalį tik tinkama programinė įranga naudoja atitinkamą kriptografinį parašą.

Vartotojai gali saugiai atsisiųsti ir įdiegti, o kūrėjai saugo savo produkto reputaciją. Tačiau įsilaužėliai ir kenkėjiškų programų platintojai naudoja tą tikslią sistemą, kad padėtų kenkėjiškam kodui paslėpti antivirusinių programų rinkinius ir kitas saugos programas.

Kaip veikia pagal kodą pasirašyta kenkėjiška programa ir išpirkos programa?

Kas yra kenkėjiška programa, pasirašyta pagal kodą?

Kai programinė įranga pasirašoma kodu, tai reiškia, kad programinė įranga turi oficialų kriptografinį parašą. Sertifikavimo tarnyba (CA) išduoda programinei įrangai pažymėjimą, patvirtinantį, kad programinė įranga yra teisėta ir saugi naudoti.

Dar geriau, kad jūsų operacinė sistema rūpinasi pažymėjimais, kodo tikrinimu ir patvirtinimu, todėl jums nereikia jaudintis. Pavyzdžiui, „Windows“ naudoja tai, kas vadinama

sertifikatų grandinė. Sertifikatų grandinę sudaro visi sertifikatai, reikalingi užtikrinti, kad programinė įranga būtų teisėta kiekviename žingsnyje.

„Sertifikatų grandinę sudaro visi sertifikatai, reikalingi pažymėti galutiniame sertifikate nurodytą subjektą. Praktiškai tai apima galutinį sertifikatą, tarpinių CA sertifikatus ir pagrindinės CA sertifikatą, kuriuo pasitiki visos grandinės šalys. Kiekviena tarpinė CA grandinė turi CA išduotą sertifikatą, esantį aukščiau jo, pasitikėjimo hierarchijoje. Pagrindinė CA išduoda sertifikatą pati. “

Kai sistema veikia, galite pasitikėti programine įranga. CA ir kodų pasirašymo sistema reikalauja didžiulio pasitikėjimo. Išplečiant, kenkėjiška programinė įranga yra kenkėjiška, nepatikima ir neturėtų turėti prieigos prie sertifikatų tarnybos ar kodų pasirašymo. Laimei, praktiškai būtent taip ir veikia sistema.

Kol kenkėjiškų programų kūrėjai ir įsilaužėliai, žinoma, neras būdų.

Piratai vagia sertifikatus išduodančių institucijų pažymėjimus

Jūsų antivirusinė programa žino, kad kenkėjiška programa yra kenkėjiška, nes ji neigiamai veikia jūsų sistemą. Tai suaktyvina įspėjimus, vartotojai praneša apie problemas, o antivirusinė programa gali sukurti kenkėjiškos programos parašą, kad apsaugotų kitus kompiuterius, naudodama tą patį antivirusinį įrankį.

Tačiau jei kenkėjiškų programų kūrėjai gali pasirašyti savo kenkėjišką kodą naudodami oficialų kriptografinį parašą, nė vienas iš jų neįvyks. Vietoj to, kenkėjiška programa, pasirašyta pagal kodą, eis pro priekines duris, kai antivirusinė programa ir operacinė sistema išvys raudoną kilimą.

„Trend“ mikro tyrimai nustatė, kad yra visa kenkėjiškų programų rinka, palaikanti kenkėjiškų programų, pasirašytų pagal kodą, kūrimą ir platinimą. Kenkėjiškų programų operatoriai gauna prieigą prie galiojančių sertifikatų, kuriuos jie naudoja pasirašydami kenkėjišką kodą. Šioje lentelėje parodyta kenkėjiškų programų apimtis, nuo 2018 m. Balandžio mėn. Naudojant kodų pasirašymą siekiant išvengti antivirusinės programos.

„Trend Micro“ tyrimais nustatyta, kad maždaug 66 procentai kenkėjiškų programų, iš kurių buvo atrinkta, buvo pasirašyti kodu. Be to, kai kuriuose kenkėjiškų programų tipuose yra daugiau kodų pasirašymo pavyzdžių, pvz., Trojos arklys, lašintuvai ir išpirkos programa. (Čia yra septyni būdai išvengti išpirkos programų išpuolių 7 būdai, kaip išvengti „Ransomware“ pataikymo„Ransomware“ gali tiesiogine prasme sugadinti jūsų gyvenimą. Ar jūs darote pakankamai, kad skaitmeninis turto prievartavimas neprarastų jūsų asmeninių duomenų ir nuotraukų? Skaityti daugiau !)

Iš kur gauti kodų pasirašymo pažymėjimai?

Kenkėjiškų programų platintojai ir kūrėjai turi dvi galimybes, susijusias su oficialiai pasirašytu kodu. Sertifikatai yra pavogti iš sertifikatų tarnybos (tiesiogiai arba perparduoti), arba įsilaužėlis gali mėginti imituoti teisėtą organizaciją ir suklastoti jų reikalavimus.

Kaip ir galima tikėtis, sertifikatų tarnyba yra varginantis taikinys bet kokiam įsilaužėliui.

Tai nėra tik įsilaužėliai, skatinantys kenkėjiškų programų, pasirašytų pagal kodą, gausėjimą. Tariamai nesąžiningi pardavėjai, turintys prieigą prie teisėtų sertifikatų, taip pat parduoda patikimus kodų pasirašymo sertifikatus kenkėjiškų programų kūrėjams ir platintojams. Čekijos Respublikos Masaryko universiteto ir Merilando kibernetinio saugumo centro (MCC) saugumo tyrėjų komanda atrado keturias parduodančias organizacijas [PDF] „Microsoft Authenticode“ sertifikatai anoniminiams pirkėjams.

„Naujausi„ Windows “kodo pasirašymo pažymėjimų ekosistemos matavimai išryškino įvairias piktnaudžiavimo formas, leidžiančias kenkėjiškų programų autoriams gaminti kenksmingą kodą su galiojančiais skaitmeniniais parašais“.

Kai kenkėjiškų programų kūrėjas turi „Microsoft Authenticode“ sertifikatą, jie gali pasirašyti bet kokią kenkėjišką programą, bandydami paneigti „Windows“ saugos kodų pasirašymą ir sertifikatais pagrįstą gynybą.

Kitais atvejais užuot pavogęs sertifikatus, įsilaužėlis pakenks programinės įrangos kūrimo serveriui. Kai nauja programinės įrangos versija išleidžiama visuomenei, ji gauna teisėtą sertifikatą. Tačiau įsilaužėlis į procesą taip pat gali įtraukti jų kenkėjišką kodą. Žemiau galite perskaityti neseną tokio tipo išpuolių pavyzdį.

3 Kodo programinės įrangos pavyzdžiai

Taigi, kaip atrodo pagal kodą pasirašyta kenkėjiška programa? Čia yra trys kenkėjiškų programų pavyzdžiai, pasirašyti kodu:

1. „Stuxnet“ kenkėjiška programa. Kenkėjiška programinė įranga, atsakinga už Irano branduolinės programos sunaikinimą, platinimui panaudojo du pavogtus pažymėjimus ir keturis skirtingus nulinės dienos išnaudojimus. Pažymėjimai buvo pavogti iš dviejų atskirų bendrovių - „JMicron“ ir „Realtek“ -, kurios turėjo bendrą pastatą. „Stuxnet“ panaudojo pavogtus sertifikatus, kad išvengtų tuo metu naujai įdiegto „Windows“ reikalavimo, kad visi vairuotojai reikalautų patvirtinimo (tvarkytojo pasirašymo).
2. „Asus“ serverio pažeidimas. Kažkada, 2018 m. Birželio – lapkričio mėn., Įsilaužėliai pažeidė „Asus“ serverį, kurį įmonė naudoja, norėdama perduoti vartotojams programinės įrangos naujinius. „Kaspersky Lab“ tyrėjai nustatė, kad aplink 500 000 „Windows“ kompiuterių gavo kenkėjišką atnaujinimą anksčiau nei kas nors suprato. Užuot pavogę sertifikatus, įsilaužėliai pasirašė savo kenkėjiškas programas teisėtais „Asus“ skaitmeniniais sertifikatais prieš programinės įrangos serverį platindami sistemos atnaujinimą. Laimei, kenkėjiška programa buvo labai tikslinga, sunkiai užkoduota ieškoti 600 konkrečių mašinų.
3. Kenkėjiška liepsna. Modulinis „Flame“ kenkėjiškų programų variantas yra nukreiptas į Artimųjų Rytų šalis, siekiant išvengti aptikimo, naudojant apgaulingai pasirašytus pažymėjimus. (Bet kokiu atveju tai yra modulinė kenkėjiška programa Modulinė kenkėjiška programa: naujas slaptas išpuolis, vagiantis jūsų duomenisKenkėjiškas programas tapo sunkiau aptikti. Kas yra modulinė kenkėjiška programa ir kaip sustabdyti jos sukėlimą kompiuteryje? Skaityti daugiau ?) „The Flame“ kūrėjai pasinaudojo silpnu kriptografiniu algoritmu, kad melagingai pasirašytų kodų pasirašymo sertifikatus, ir atrodo, kad „Microsoft“ juos pasirašytų. Skirtingai nuo „Stuxnet“, turinčio griaunamąjį elementą, „Flame“ yra šnipinėjimo įrankis, ieškantis PDF, AutoCAD failų, tekstinių failų ir kitų svarbių pramoninių dokumentų tipų.

Kaip išvengti kodo pasirašytos kenkėjiškos programos

Trys skirtingi kenkėjiškų programų variantai, trys skirtingi kodo pasirašymo išpuolių tipai. Geros žinios yra tai, kad dauguma šio tipo kenkėjiškų programų, bent jau šiuo metu, yra labai tikslingai naudojamos.

Neįmanoma pasakyti, kad dėl tokių kenkėjiškų programų variantų, kurie naudojasi kodų pasirašymu, sėkmės procentų aptikti, tikėtis, kad daugiau kenkėjiškų programų kūrėjų naudos šią techniką, kad įsitikintų, jog yra jų pačių išpuoliai sėkmingai.

Be to, apsisaugoti nuo kodo pasirašytos kenkėjiškos programos yra labai sudėtinga. Nuolat atnaujinkite savo sistemą ir antivirusinį paketą, venkite spustelėti nežinomas nuorodas ir prieš naudodamiesi ja dar kartą patikrinkite, kur jus nukreipia.

Neatnaujinkite antivirusinės, patikrinkite mūsų sąrašą kaip galite išvengti kenkėjiškų programų Antivirusinės programinės įrangos nepakanka: 5 dalykai, kuriuos turite padaryti, kad išvengtumėte kenkėjiškų programųĮdiegę antivirusinę programinę įrangą, būkite saugūs internete atlikdami šiuos veiksmus, kad saugesnis kompiuteris būtų saugus. Skaityti daugiau !