Malware mit legitimen Zertifikaten verbreitet
Aktuelle Forschungen an der University of Maryland werfen erneut ein negatives Licht auf den Umgang mit Zertifikaten. Nahezu 200 Malware-Proben waren mit legitimen digitalen Unterschriften ausgestattet. Somit kann die Schadsoftware Prüfungen durch Sicherheitssoftware bestehen. Auf der ACM Conference on Computer and Communications Security (CCS) wurden diese Untersuchungen vorgestellt.
Nebenbei ergaben die Forschungen, dass Stuxnet weitaus früher im Umlauf war als bisher bekannt. Stuxnet gilt als einer der ersten Trojaner, der mit gestohlenen validen Windows-Treiber-Zertifikaten unterschrieben war. Bekannt wurde Stuxnet im Jahr 2010, die von Jmicron und Realtek entwendeten Zertifikate stammen aus dem Jahr 2003. Auch der Trojaner Duqu 2.0 nutzte gestohlene Zertifikate von Foxconn für die Installation seiner Treiber.
Mangelnde Transparenz
Anders als bei Zertifikaten, die Webseiten legitimieren, gibt es für digitale Unterschriften für Software keine zentrale Datenbank, die durchsucht werden kann. Das erschwerte den Forschern die Arbeit für ihre aktuelle Untersuchung und unterstreicht deren Bedeutsamkeit. Einmalige Zertifikate, die bereits für die Legitimierung anderer Software verwendet wurden, sind demnach besonders verbreitet. Scheinbar haben deren Besitzer die Kontrolle über ihre privaten Schlüssel verloren, oft ohne es zu merken.
Ein etwas kleinerer Prozentsatz missbrauchter Zertifikate geht auf die Fahrlässigkeit der Aussteller zurück, die offenbar nicht genügend Sorgfalt bei der Verifizierung des Antragstellers haben walten lassen. Manche Zertifikate wurden auf den Namen großer Unternehmen nach einem Identitätsdiebstahl ausgestellt.
Um die Konsequenzen von Zertifikatsmissbräuchen zu unterstreichen, untersuchten die Forscher auch, welche Sicherheitssoftware sich nicht nur durch legitime, sondern auch durch nachweislich illegitime Zertifikate umgehen ließ. Keines der AV-Programme erkannte sämtliche von den Forschern präparierte Malware-Proben. Die Forscher führen dieses Ergebnis unter anderem auf eine unzureichende Implementierung von Microsofts Authenticode-Spezifizierung zurück.
Die incoperating als Partner bezüglich IT-Sicherheit
IT-Sicherheit ist für Unternehmen jeder Art und Branche ein sehr wichtiges Thema. Die incoperating hilft Ihnen Ihre IT-Sicherheit auf den neuesten Stand zu bringen und immer gegen gefährliche Angriffe geschützt zu sein. Unsere Partner Bitdefender, Sophos und Fortinet bieten hier in den Bereichen Virenschutz und Firewalls hochqualitative Produkte. Nehmen Sie jetzt unser kostenloses und unverbindliches IT-Audit in Anspruch, um bereits vorab unsere Services und unsere Arbeitsqualität kennenzulernen.
Originalartikel: https://www.golem.de/news/security-malware-mit-legitimen-zertifikaten-weit-verbreitet-1711-130997.html