– Twórcy szkodliwego oprogramowania kradną oraz imitują legalne sygnatury, aby przekonać użytkowników oraz systemy operacyjne, że dany plik jest bezpieczny. Kaspersky Lab od wielu lat obserwuje wykorzystywanie tej techniki przez cyberprzestępców odpowiedzialnych za zaawansowane długotrwałe zagrożenia – powiedział Andriej Ladikow, szef działu badań strategicznych w Kaspersky Lab.

Wzrost liczby niezaufanych certyfikatów, źródło: securelist.com

Biorąc pod uwagę wzrastającą liczbę zagrożeń związanych z podpisywaniem szkodliwych plików, eksperci zalecają użytkownikom, a w szczególności administratorom sieci firmowych, aby nie zezwalali na uruchamianie plików wyłącznie na podstawie podpisów.

Niesławny robak Stuxnet używał certyfikatów skradzionych z firm Realtek oraz JMicron. Gang Winnti kradł certyfikaty ze zhakowanych firm zajmujących się tworzeniem gier oraz wykorzystywał je w nowych atakach. Co więcej, znane są przykłady wykorzystania tych samych certyfikatów w atakach przeprowadzanych przez inne grupy cyberprzestępców, co sugeruje istnienie dobrze prosperującego czarnego rynku. Grupa stojąca za kampanią cyberszpiegowską Darkhotel zwykle podpisywała cyfrowo swoje moduły i najprawdopodobniej posiadała dostęp do sekretnych kluczy niezbędnych do generowania fałszywych certyfikatów.

Aby zmniejszyć ryzyko uruchomienia na komputerze nowego szkodliwego oprogramowania, które posiada - według systemu operacyjnego - ważny certyfikat cyfrowy, niezbędne jest zapewnienie zwiększonej kontroli nad podpisanymi plikami przy użyciu skutecznej ochrony antywirusowej oraz przestrzeganie podstawowych zasad bezpieczeństwa:

1. Wprowadź zakaz uruchamiania programów, które są podpisane cyfrowo przez nieznanego twórcę oprogramowania: większość skradzionych certyfikatów pochodzi od drobnych twórców.
2. Nie instaluj certyfikatów pochodzących z nieznanych centrów certyfikacji.
3. Nie zezwalaj na uruchomienie programów podpisanych przez zaufane certyfikaty wyłącznie na podstawie nazwy certyfikatu. Sprawdź inne atrybuty, takie jak numer seryjny oraz cyfrowy odcisk palca certyfikatu.
4. Zainstaluj aktualizację Microsoftu MS13-098 usuwającą błąd, który powala na zapisanie dodatkowych danych (także niebezpiecznych) w plikach podpisanych cyfrowo.
5. Korzystaj z rozwiązania antywirusowego, które posiada własną bazę zaufanych i niezaufanych certyfikatów.

Warto przeczytać: Why You Shouldn't Completely Trust Files Signed with Digital Certificates