פרסומת
חתימת קוד היא הנוהג של חתימה באופן קריפטוגרפי על פיסת תוכנה כך שמערכת ההפעלה ומשתמשיה יוכלו לוודא שהיא בטוחה. חתימת קוד עובדת טוב, באופן כללי. ברוב המקרים, רק התוכנה הנכונה משתמשת בחתימה הקריפטוגרפית המתאימה לה.
משתמשים יכולים להוריד ולהתקין בבטחה, ומפתחים מגנים על המוניטין של המוצר שלהם. עם זאת, האקרים ומפיצי תוכנות זדוניות משתמשים במערכת המדויקת הזו כדי לסייע לקוד זדוני לחלוף על פני חבילות אנטי-וירוס ותוכניות אבטחה אחרות.
כיצד פועלים תוכנות זדוניות עם תוכנה זדונית וחומרים רנסומטיים?
מהי תוכנה זדונית חתומה על קוד?
כאשר תוכנה חתומה על קוד, המשמעות היא שהתוכנה נושאת חתימה קריפטוגרפית רשמית. רשות אישורים (CA) מנפיקה לתוכנה תעודה המאשרת כי התוכנה לגיטימית ובטוחה לשימוש.
מוטב, מערכת ההפעלה שלך דואגת לתעודות, לבדיקת קוד ואימות, כך שאתה לא צריך לדאוג. לדוגמה, Windows משתמש במה שמכונה שרשרת תעודות. שרשרת האישורים מורכבת מכל האישורים הדרושים בכדי להבטיח כי התוכנה לגיטימית בכל שלב.
"שרשרת אישורים מורכבת מכל האישורים הדרושים לאישור הנושא שזוהה בתעודת הסיום. בפועל, זה כולל את תעודת הסיום, תעודות של חברות תעודת ביניים ותעודת אישור שורש המהימן על ידי כל הצדדים ברשת. כל CA ביניים בשרשרת מחזיק בתעודה שהונפקה על ידי ה- CA ברמה אחת מעליה בהיררכיית האמון. השורש CA מנפיק תעודה לעצמה. "
כאשר המערכת עובדת, אתה יכול לסמוך על תוכנה. מערכת CA וחתימת קוד דורשת אמון רב. בהרחבה, תוכנה זדונית היא זדונית, לא אמינה ואסור שתהיה לה גישה לרשות אישורים או חתימת קוד. למרבה המזל, בפועל, כך המערכת עובדת.
עד שמפתחים והאקרים של תוכנות זדוניות ימצאו דרך לעקוב אותה, כמובן.
האקרים גונבים תעודות מרשויות אישורים
האנטי-וירוס שלך יודע שתוכנה זדונית היא זדונית מכיוון שהיא משפיעה לרעה על המערכת שלך. זה מפעיל אזהרות, משתמשים מדווחים על בעיות והאנטי-וירוס יכול ליצור חתימה על תוכנה זדונית כדי להגן על מחשבים אחרים באמצעות אותו כלי אנטי-וירוס.
עם זאת, אם מפתחי התוכנה הזדונית יכולים לחתום על הקוד הזדוני שלהם באמצעות חתימה קריפטוגרפית רשמית, דבר כזה לא יקרה. במקום זאת, התוכנה הזדונית החתומה על קוד תעבור דרך דלת הכניסה כאשר האנטי-וירוס שלך ומערכת ההפעלה מגלגלת את השטיח האדום.
מחקר מיקרו טרנד מצא שיש שוק שלם של תוכנות זדוניות התומך בפיתוח והפצה של תוכנות זדוניות חתומות על קוד. מפעילי תוכנה זדונית מקבלים גישה לתעודות תקפות בהן הם משתמשים כדי לחתום על קוד זדוני. הטבלה הבאה מציגה את נפח התוכנה הזדונית המשתמשת בחתימת קוד כדי להתחמק מאנטי-וירוס, החל מאפריל 2018.
מחקר Trend Micro מצא כי כ -66 אחוז מכל התוכנות הזדוניות שנדגמו היו חתומות בקוד. יתר על כן, סוגים מסוימים של תוכנות זדוניות מגיעים עם יותר מקרים לחתימת קוד, כגון סוסים טרויאנים, טפטפות וכלי תוכנה כופר. (הנה שבע דרכים להימנע מהתקפת תוכנת כופר 7 דרכים להימנע מלהיפגע על ידי RansomwareRansomware יכול להרוס את חייך ממש. האם אתה עושה מספיק כדי לא לאבד את הנתונים והתמונות האישיים שלך לסחיטה דיגיטלית? קרא עוד !)
מאיפה מגיעים תעודות חתימה על קוד?
למפיצים ומפתחי תוכנות זדוניות יש שתי אפשרויות ביחס לקוד שנחתם רשמית. אישורים נגנבים מרשות אישורים (ישירות או למכירה חוזרת), או שהאקר יכול לנסות לחקות ארגון לגיטימי ולזייף את דרישותיהם.
כפי שהייתם מצפים, רשות אישורים היא יעד מפתה עבור כל האקר.
זה לא רק האקרים שמאודמים את עליית התוכנה הזדונית החתומה על קוד. ספקים כביכול חסרי מצפון עם גישה לתעודות לגיטימיות מוכרים אישורי חתימה על קוד מהימנים גם למפתחי ומפיצים זדוניים. צוות חוקרי אבטחה מאוניברסיטת מסריק בצ'כיה ומרכז מרחב Cyber Security (MCC) גילו ארבעה ארגונים שנמכרו [PDF] אישורי Microsoft Authenticode לרוכשים אנונימיים.
"המדידות האחרונות של מערכת האקולוגית של אישורי חתימת קוד Windows הדגישו צורות שונות של שימוש לרעה המאפשרות למחברים זדוניים לייצר קוד זדוני הנושא חתימות דיגיטליות תקפות."
ברגע שלמפתח תוכנות זדוניות יש אישור של Microsoft Authenticode, הוא יכול לחתום על כל תוכנה זדונית בניסיון לשלול חתימת קוד אבטחה של Windows והגנה מבוססת אישורים.
במקרים אחרים, במקום לגנוב את האישורים, האקר יתפשר על שרת לבנות תוכנה. כאשר גרסת תוכנה חדשה משוחררת לציבור, היא נושאת אישור לגיטימי. אבל האקר יכול לכלול את התהליך הזדוני שלהם גם בתהליך. תוכל לקרוא על דוגמא אחרונה לסוג זה של התקפה להלן.
3 דוגמאות לתוכנה זדונית חתומה על קוד
אז איך נראית תוכנה זדונית חתומה על קוד? להלן שלוש דוגמאות תוכנות זדוניות חתומות על קוד:
- תוכנות זדוניות Stuxnet. התוכנה הזדונית האחראית על השמדת תוכנית הגרעין האיראנית השתמשה בשני תעודות גנובות כדי להפיץ, יחד עם ארבעה מעללי אפס יום שונים. האישורים נגנבו משתי חברות נפרדות - JMicron ו- Realtek - שחלקו בניין יחיד. Stuxnet השתמש בתעודות הגנובות כדי להימנע מדרישת Windows שהוצגה לאחרונה אז שכל הנהגים נדרשים לאימות (חתימת מנהל התקן).
- הפרת שרתים של Asus. מתישהו בין יוני לנובמבר 2018, האקרים הפרו שרת Asus בו החברה משתמשת כדי לדחוף עדכוני תוכנה למשתמשים. חוקרים במעבדת קספרסקי מצאתי את זה בסביבה 500,000 מכונות חלונות קיבלו את העדכון הזדוני לפני שמישהו הבין. במקום לגנוב את האישורים, האקרים החתימו את התוכנה הזדונית שלהם עם אישורים דיגיטליים של Asus לגיטימי לפני ששרת התוכנה הפיץ את עדכון המערכת. למרבה המזל, התוכנה הזדונית הייתה ממוקדת מאוד, עם קידוד קשה לחיפוש אחר 600 מכונות ספציפיות.
- תוכנה זדונית להבה. גרסת התוכנה הזדונית המודרנית להבה מתמקדת במדינות המזרח התיכון, תוך שימוש בתעודות חתומות בהונאה כדי להימנע מגילוי. (מה זה תוכנה זדונית, בכל מקרה תוכנה זדונית מודולרית: ההתקפה התגנבה החדשה שגונבת את הנתונים שלךתוכנה זדונית הפכה קשה יותר לאיתור. מהי תוכנה זדונית מודולרית, וכיצד מפסיקים את זה לגרום לאבני הרס במחשב האישי שלך? קרא עוד ?) מפתחי הלהבה ניצלו אלגוריתם קריפטוגרפי חלש כדי לחתום כוזב בתעודות חתימת הקוד, מה שגרם להיראות כאילו מיקרוסופט החתימה אותן. בניגוד ל- Stuxnet שנשאה אלמנט הרסני, להבה היא כלי לריגול, לחפש קובצי PDF, קבצי AutoCAD, קבצי טקסט וסוגים אחרים של מסמכים תעשייתיים חשובים.
כיצד להימנע מתוכנה זדונית חתומה על קוד
שלוש גרסאות תוכנה זדוניות שונות, שלושה סוגים שונים של התקפת חתימה על קוד. החדשות הטובות הן שרוב התוכנות הזדוניות מסוג זה הן, לפחות בזמן הנוכחי, ממוקדות מאוד.
הצד האחורי הוא שבגלל אחוזי ההצלחה של גרסאות זדוניות כאלה שמשתמשות בחתימת קוד כדי להימנע גילוי, צפו ממפתחים רבים יותר של תוכנות זדוניות שישתמשו בטכניקה כדי לוודא שההתקפות שלהם הם מצליח.
בנוסף, הגנה מפני תוכנות זדוניות חתומות על קוד היא קשה ביותר. שמירה על עדכניות מערכת ומערכת האנטי-וירוס שלך חיונית, הימנע מלחיצה על קישורים לא ידועים ובדוק שוב לאן כל קישור לוקח אותך לפני שאתה עוקב אחריו.
מלבד עדכון האנטי-וירוס שלך, עיין ברשימה שלנו כיצד ניתן להימנע מתוכנות זדוניות תוכנת אנטי-וירוס אינה מספיקה: 5 דברים שעליך לעשות כדי להימנע מתוכנות זדוניותהישאר בטוח ובטוח באופן מקוון לאחר התקנת תוכנת אנטי-וירוס על ידי ביצוע השלבים הבאים למחשוב בטוח יותר. קרא עוד !
גבין הוא סופר בכיר ב- MUO. הוא גם עורך ומנהל SEO של אתר האחות הממוקדת בקריפטו של MakeUseOf, Blocks Decoded. הוא בעל תואר ראשון (Hons) בכתיבה עכשווית עם פרקטיקות באמנות דיגיטלית, הנדנדה מגבעות דבון, וכן ניסיון של למעלה מעשור של כתיבה מקצועית. הוא נהנה מכמויות תה רבות.
