ハッカーはマルウェアの検出を回避するために正規のコード署名証明書を販売しています

セキュリティ研究者は、ハッカーがセキュリティ アプライアンスをバイパスして被害者に感染することを容易にするために、コード署名証明書をさらに使用していることを発見しました。

新しい研究 Recorded Future の Insikt Group は、ハッカーや悪意のある攻撃者が悪意のあるコードに署名するために発行当局から正規の証明書を取得していることを発見しました。

これは、ほとんどの場合、証明書は企業や開発者から盗まれ、マルウェアをより正当なものに見せるためにハッカーによって再利用されるという見方とは反対です。

コード署名証明書は、アプリが本物であるかのように見せることで、デスクトップ アプリやモバイル アプリに一定の保証を与えるように設計されています。 コード署名されたアプリを開くと、開発者が誰であるかがわかり、アプリが何らかの方法で改ざんされていないことを示す高いレベルの整合性がアプリに提供されます。 Mac を含む最新のオペレーティング システムのほとんどは、デフォルトではコード署名されたアプリのみを実行します。

しかし、コード署名はマルウェアを誤ってインストールするユーザーに影響を与えるだけでなく、コード署名されたアプリはネットワーク セキュリティ アプライアンスによって検出されにくくなります。 この調査によると、ネットワーク トラフィックをスキャンするためにディープ パケット インスペクションを使用するハードウェアは、「正規の証明書トラフィックが悪意のあるインプラントによって開始されると、効果が低下する」という。

これを一部のハッカーが利用し、わずか 299 ドルでコード署名証明書を販売しています。 厳格な審査プロセスを通過することを目的とした拡張検証証明書は、1,599 ドルで販売できます。

研究者らによると、これらの証明書は、Comodo、Symantec、Thawteなどの信頼できる証明書発行機関によって取得されたもので、現在はどちらもDigiCertが所有している。

Appleの証明書も入手可能でした。

「Apple の世界では、コード署名されていないプログラムを実行することはできません。方法はたくさんあります。 ただし、そのあたりは重要です」と、Cyber​​eason の主任セキュリティ研究者で Mac のスペシャリストである Amit Serper 氏は述べています。 マルウェア。 「プログラムに署名してもらうには、開発者アカウントを設定し、Apple に 99 ドルを支払い、証明書を発行する理由を与える必要があります。 Apple の目標はお金を稼ぎ、より多くの開発者を開発者プログラムに参加させて収益を上げることなので、証明書を取得するのは信じられないほど簡単です。」

同氏は、「世の中に出回っているMac向けのマルウェアやアドウェアの多くは、Appleが提供する正規のコード署名証明書で署名されている」と述べた。

Serper は最近、ブラウザに広告を直接挿入する卑劣なアドウェアである Pirrit について書きました。 によると Seper の書き込みへ, Pirrit のアップデーターはコード署名されており、追加の悪意のあるコンテンツをダウンロードしやすくなっています。

AppleとComodoの広報担当者はコメントの要請に応じなかった。 DigiCertから連絡があった時点ではコメントはなかった。 変更された場合は更新します。

しかし研究者らは、認証局は自分たちのデータが使用されたことを「認識していない」と考えていると述べている。 Recorded Future のアドバンスト コレクション ディレクターである Andrei Barysevich 氏は次のように述べています。 ZDNet ハッカーは「盗んだ企業情報を使用して発行当局から直接証明書を取得する」という。 それらの ログイン情報が盗まれると、ハッカーが発行機関のネットワークにアクセスし、顧客向けにカスタム証明書を発行できるようになります。

同氏は、「これらの企業の内部関係者からの援助は一切利用されていないと確信している」と述べた。

調査によると、ハッカーは 6 か月間で 60 を超える証明書を販売しました。 しかし、マルウェア作成者が高価なコード署名証明書以外の難読化技術を選択したため、売上は減少しました。

「しかし、疑いなく、より洗練された主体や国民国家主体は、それほど広範囲ではなく、より多くの活動に従事している。 標的型攻撃は今後も偽のコード署名と SSL 証明書を運用に使用するでしょう」と研究者らは述べています。 言った。