Mit Code signierte Malware ist eine neue Bedrohung für Computerbenutzer.  Wie können Sie Ihren PC und Ihre Daten vor mit Code signierter Malware schützen?

Was ist Code-signierte Malware und wie können Sie dies vermeiden?

Werbung Bei der Codesignatur wird ein Teil der Software kryptografisch signiert, damit das Betriebssystem und seine Benutzer die Sicherheit überprüfen können. Code Signing funktioniert im Großen und Ganzen gut. Meistens verwendet nur die richtige Software die entsprechende kryptografische Signatur. Be

Werbung

Bei der Codesignatur wird ein Teil der Software kryptografisch signiert, damit das Betriebssystem und seine Benutzer die Sicherheit überprüfen können. Code Signing funktioniert im Großen und Ganzen gut. Meistens verwendet nur die richtige Software die entsprechende kryptografische Signatur.

Benutzer können sicher herunterladen und installieren, und Entwickler schützen die Reputation ihres Produkts. Hacker und Malware-Distributoren verwenden jedoch genau dieses System, um böswilligen Code an Antivirensuiten und anderen Sicherheitsprogrammen vorbeizuführen.

Wie funktioniert mit Code signierte Malware und Ransomware?

Was ist Code Signed Malware?

Wenn die Software mit einem Code signiert ist, bedeutet dies, dass die Software eine offizielle kryptografische Signatur trägt. Eine Zertifizierungsstelle (Certificate Authority, CA) stellt der Software ein Zertifikat aus, mit dem bestätigt wird, dass die Software legitim und sicher zu verwenden ist.

Besser noch, Ihr Betriebssystem kümmert sich um die Zertifikate, Codeüberprüfung und Verifizierung, sodass Sie sich keine Sorgen machen müssen. Beispielsweise verwendet Windows eine sogenannte Zertifikatskette. Die Zertifikatskette besteht aus allen Zertifikaten, die erforderlich sind, um sicherzustellen, dass die Software auf jedem Schritt des Weges legitim ist.

„Eine Zertifikatskette besteht aus allen Zertifikaten, die zur Zertifizierung des durch das Endzertifikat identifizierten Subjekts erforderlich sind. In der Praxis umfasst dies das Endzertifikat, die Zertifikate von Zwischenzertifizierungsstellen und das Zertifikat einer Stammzertifizierungsstelle, dem alle Beteiligten in der Kette vertrauen. Jede Zwischenzertifizierungsstelle in der Kette verfügt über ein Zertifikat, das von der Zertifizierungsstelle eine Ebene darüber in der Vertrauenshierarchie ausgestellt wurde. Die Stammzertifizierungsstelle stellt ein Zertifikat für sich selbst aus. “

Wenn das System funktioniert, können Sie sich auf Software verlassen. Das CA- und Code-Signierungssystem erfordert ein hohes Maß an Vertrauen. Malware ist grundsätzlich böswillig, nicht vertrauenswürdig und sollte keinen Zugriff auf eine Zertifizierungsstelle oder Codesignatur haben. Zum Glück funktioniert das System in der Praxis so.

Bis Malware-Entwickler und Hacker einen Ausweg finden, natürlich.

Hacker stehlen Zertifikate von Zertifizierungsstellen

Ihr Virenschutzprogramm weiß, dass Malware schädlich ist, da sie sich negativ auf Ihr System auswirkt. Es löst Warnungen aus, Benutzer melden Probleme und das Antivirenprogramm kann eine Malware-Signatur erstellen, um andere Computer mit demselben Antivirenprogramm zu schützen.

Wenn die Malware-Entwickler jedoch ihren Schadcode mit einer offiziellen kryptografischen Signatur signieren können, geschieht nichts davon. Stattdessen tritt die mit Code signierte Malware durch die Eingangstür, während Ihr Virenschutzprogramm und das Betriebssystem den roten Teppich ausrollen.

Untersuchungen von Trend Micro haben ergeben, dass es einen gesamten Malware-Markt gibt, der die Entwicklung und Verbreitung von mit Code signierter Malware unterstützt. Malware-Betreiber erhalten Zugriff auf gültige Zertifikate, mit denen sie böswilligen Code signieren. In der folgenden Tabelle ist die Menge an Malware aufgeführt, die zur Umgehung von Virenbefall mithilfe von Codesignaturen ab April 2018 verwendet wurde.

Trend Micro Code signierte Malware-Typ-Tabelle

Die Trend Micro-Studie ergab, dass rund 66 Prozent der untersuchten Malware mit Codesignaturen versehen waren. Darüber hinaus enthalten bestimmte Malware-Typen mehr Instanzen für die Codesignatur, z. B. Trojaner, Dropper und Ransomware. (Hier sind sieben Möglichkeiten, um einen Ransomware-Angriff zu vermeiden. 7 Möglichkeiten, um zu vermeiden, von Ransomware getroffen zu werden. 7 Möglichkeiten, um zu verhindern, dass Ransomware Ihr Leben buchstäblich ruiniert. Tun Sie genug, um zu verhindern, dass Ihre persönlichen Daten und Fotos durch digitale Erpressung verloren gehen? Lesen Mehr !)

Woher kommen Codesignaturzertifikate?

Malware-Distributoren und -Entwickler haben hinsichtlich des offiziell signierten Codes zwei Möglichkeiten. Zertifikate werden entweder einer Zertifizierungsstelle (direkt oder zum Weiterverkauf) gestohlen, oder ein Hacker kann versuchen, eine legitime Organisation nachzuahmen und ihre Anforderungen zu fälschen.

Wie zu erwarten, ist eine Zertifizierungsstelle ein verlockendes Ziel für jeden Hacker.

Es sind nicht nur Hacker, die den Anstieg von mit Code signierter Malware befeuern. Angeblich skrupellose Anbieter mit Zugriff auf legitime Zertifikate verkaufen vertrauenswürdige Codesignaturzertifikate auch an Malware-Entwickler und -Distributoren. Ein Team von Sicherheitsforschern der Masaryk-Universität in der Tschechischen Republik und des Maryland Cybersecurity Center (MCC) entdeckte vier Organisationen, die Microsoft Authenticode-Zertifikate [PDF] an anonyme Käufer verkauften.

"Jüngste Messungen des Windows-Ökosystems für Codesignaturzertifikate haben verschiedene Formen von Missbrauch aufgedeckt, mit denen Malware-Autoren bösartigen Code mit gültigen digitalen Signaturen erstellen können."

Sobald ein Malware-Entwickler über ein Microsoft Authenticode-Zertifikat verfügt, kann er Malware signieren, um die Windows-Sicherheitscodesignatur und die zertifikatbasierte Verteidigung zu negieren.

In anderen Fällen greift ein Hacker einen Software-Build-Server an, anstatt die Zertifikate zu stehlen. Wenn eine neue Softwareversion für die Öffentlichkeit freigegeben wird, ist sie mit einem legitimen Zertifikat versehen. Ein Hacker kann jedoch auch seinen Schadcode in den Prozess einbeziehen. Im Folgenden finden Sie ein aktuelles Beispiel für diese Art von Angriff.

3 Beispiele für Code-signierte Malware

Wie sieht also mit Code signierte Malware aus? Hier sind drei Beispiele für mit Code signierte Malware:

  1. Stuxnet-Malware . Die Malware, die für die Zerstörung des iranischen Atomprogramms verantwortlich ist, hat zur Verbreitung zwei gestohlene Zertifikate sowie vier verschiedene Zero-Day-Exploits verwendet. Die Zertifikate wurden von zwei verschiedenen Unternehmen gestohlen - JMicron und Realtek -, die sich ein einziges Gebäude teilten. Stuxnet nutzte die gestohlenen Zertifikate, um die damals neu eingeführte Windows-Anforderung zu umgehen, dass alle Treiber überprüft werden mussten (Treibersignatur).
  2. Asus Serverbruch . Irgendwann zwischen Juni und November 2018 brachen Hacker in einen Asus-Server ein, mit dem das Unternehmen Software-Updates an Benutzer weiterleitet. Die Forscher von Kaspersky Lab stellten fest, dass rund 500.000 Windows-Computer das schädliche Update erhalten hatten, bevor es jemand bemerkte. Anstatt die Zertifikate zu stehlen, signierten die Hacker ihre Malware mit legitimen digitalen Asus-Zertifikaten, bevor der Softwareserver das Systemupdate verteilte. Glücklicherweise war die Malware sehr zielgerichtet und für die Suche nach 600 bestimmten Computern hartcodiert.
  3. Flame Malware . Die modulare Malware-Variante Flame zielt auf Länder im Nahen Osten ab und verwendet betrügerisch signierte Zertifikate, um eine Erkennung zu vermeiden. (Was ist modulare Malware?) Modulare Malware: Der neue geheime Angriff zum Diebstahl Ihrer Daten. Modulare Malware: Der neue geheime Angriff zum Diebstahl Ihrer Daten. Malware ist immer schwerer zu erkennen. Was ist modulare Malware und wie können Sie verhindern, dass sie auf Ihrem PC Chaos anrichtet? ? Lesen Sie mehr?) Die Flame-Entwickler haben einen schwachen kryptografischen Algorithmus ausgenutzt, um die Codesignaturzertifikate fälschlicherweise zu signieren, sodass es so aussieht, als hätte Microsoft sie abgemeldet. Im Gegensatz zu Stuxnet, das ein zerstörerisches Element enthielt, ist Flame ein Tool für die Spionage, mit dem PDFs, AutoCAD-Dateien, Textdateien und andere wichtige industrielle Dokumenttypen gesucht werden können.

So vermeiden Sie Code-signierte Malware

Drei verschiedene Malware-Varianten, drei verschiedene Arten von Code-Signing-Angriffen. Die gute Nachricht ist, dass die meisten Schadprogramme dieser Art, zumindest zum gegenwärtigen Zeitpunkt, sehr gezielt eingesetzt werden.

Die Kehrseite ist, dass aufgrund der Erfolgsrate solcher Malware-Varianten, die Codesignaturen verwenden, um eine Erkennung zu vermeiden, mehr Malware-Entwickler diese Technik einsetzen müssen, um sicherzustellen, dass ihre eigenen Angriffe erfolgreich sind.

Darüber hinaus ist der Schutz vor mit Code signierter Malware äußerst schwierig. Halten Sie Ihr System und Ihre Antivirensuite auf dem neuesten Stand. Vermeiden Sie es, auf unbekannte Links zu klicken, und überprüfen Sie, wohin ein Link führt, bevor Sie ihm folgen.

Neben der Aktualisierung Ihres Antivirenprogramms finden Sie in unserer Liste Informationen darüber, wie Sie Malware vermeiden können. Antivirus-Software ist nicht ausreichend: 5 Maßnahmen zur Vermeidung von Malware Antivirus-Software ist nicht ausreichend: 5 Maßnahmen zur Vermeidung von Malware Bleiben Sie online sicher Führen Sie nach der Installation der Antivirensoftware die folgenden Schritte aus, um die Sicherheit des Computers zu erhöhen. Weiterlesen !

Erfahren Sie mehr über: Malware, Online-Sicherheit, Sicherheitszertifikat.