Tyxo.bg counter

Хакери използват сертификати за подписване на кодове, за да избегнат защитите

Екипът на Insikt Group твърди, че хакерите използват сертификати на реномирани източници като Comodo, Symantec, Thawte и Apple

Изследователите по сигурността установиха, че хакерите все по-често използват сертификати за подписване на кодове, за да пробият по-лесно системите за сигурност на набелязаните жертви.

Ново проучване на Insikt Group, група за изследвания в сферата на сигурността към технологичната компания Recorded Future, установява, че хакери и други злонамерени актьори получават легитимни сертификати от отговорните органи, с които подписват зловреден код.

 

 

Това опровергава широко разпространената теза, че в повечето случаи сертификатите биват откраднати от компании и разработчици, след което преправяни от хакерите с цел легитимация на злонамерен софтуер.

Сертификатите за подписване на кода са предназначени да осигурят на софтуера или мобилното приложение нужното ниво на сигурност, като доказват автентичност. Всеки път, когато отворите дадено приложение, подписано с код, то ви съобщава кой е разработчикът и удостоверява, че не е било преправяно по никакъв начин. Повечето съвременни операционни системи изпълняват по подразбиране само кодово подписани приложения. Именно заради това зловредните приложения, подписани с код, са много по-трудни за откриване от системите за мрежова защита. Според изследователите хардуерът, който използва дълбоко инспектиране на пакети (DPI) за сканиране на мрежовия трафик, "става по-малко ефективен, когато легитимният трафик на сертификати се инициира от злонамерен имплант".

Екипът на Insikt Group твърди, че хакерите използват сертификати на реномирани източници като Comodo, Symantec и Thawte, а, не на последно място, и на Apple.

"В света на Apple не можете да изпълнявате програма, която не е подписана с код. Въпреки това обаче, има много начини да си набавите такъв", коментира Амит Серпер, главен изследовател по сигурността в Cybereason и специалист по злонамерен софтуер за Mac, и добавя: "За да получите такъв, трябва просто да си създадете профил на разработчик, да платите на Apple 99 долара и да им дадете основание да ви издадат сертификат. Тъй като целта на компанията е да печели пари и да има повече разработчици, които да се включат в различните програми, получаването на сертификат е невероятно лесно".

"Много зловреден софтуер и адуер (рекламен софтуер) за Mac e маркиран със законни сертификати за подписване на кодове, предоставени от Apple", добавя Серпер.

Специалистът неотдавна предупреди за Pirrit, адуер, който инжектира реклами направо в браузъра, като по думите му актуализацията на въпросния софтуер е подписана с код, което улеснява изтеглянето на допълнително злонамерено съдържание.

От Apple и Comodo отказват коментар за момента, но изследователите смятат, че сертифициращите органи не знаят, че данните им са използвани по този начин. Андрей Барисевич, директор в Recorded Future, е категоричен пред ZDNet, че хакерите "получават сертификатите директно от лицензионните органи, като използват откраднати корпоративни входни данни, които им позволяват да получат достъп до мрежата”.

"Ние сме уверени, че не се използва помощ от вътрешни лица във въпросните компании", добавя той.

Twitter icon Facebook icon
Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук.