Kas ir ar kodu parakstīta ļaunprogrammatūra un kā no tā izvairīties?

Reklāma

Kodu parakstīšana ir programmatūras kriptogrāfiska parakstīšana, lai operētājsistēma un tās lietotāji varētu pārliecināties, ka tā ir droša. Koda parakstīšana parasti darbojas labi. Lielāko daļu laika tikai pareiza programmatūra izmanto atbilstošo kriptogrāfisko parakstu.

Lietotāji var droši lejupielādēt un instalēt, un izstrādātāji aizsargā sava produkta reputāciju. Tomēr hakeri un ļaunprātīgas programmatūras izplatītāji izmanto šo precīzo sistēmu, lai palīdzētu ļaunprātīgam kodam paslīdēt garām antivīrusu komplektiem un citām drošības programmām.

Kā darbojas ar kodu parakstīta ļaunprātīga programmatūra un izpirkuma programmatūra?

Kas ir ar kodu parakstīta ļaunprogrammatūra?

Ja programmatūra ir parakstīta ar kodu, tas nozīmē, ka programmatūrai ir oficiāls šifrēšanas paraksts. Sertifikātu iestāde (CA) izsniedz programmatūrai sertifikātu, kas apstiprina, ka programmatūra ir likumīga un droša lietošanai.

Vēl labāk, ja jūsu operētājsistēma rūpējas par sertifikātiem, koda pārbaudi un verifikāciju, tāpēc jums nav jāuztraucas. Piemēram, Windows izmanto tā saukto

instagram viewer

sertifikātu ķēde. Sertifikātu ķēde sastāv no visiem sertifikātiem, kas nepieciešami, lai nodrošinātu programmatūras likumību visos veidos.

“Sertifikātu ķēde sastāv no visiem sertifikātiem, kas nepieciešami, lai apliecinātu subjektu, kuru identificē gala sertifikāts. Praksē tas ietver gala sertifikātu, starpposma SI sertifikātus un saknes SI sertifikātu, kam uzticas visas ķēdes puses. Katrai ķēdes starpposma CA ir sertifikāts, ko CA izdevusi par vienu līmeni uzticības hierarhijā. Saknes SI izdod sev sertifikātu. ”

Kad sistēma darbojas, varat uzticēties programmatūrai. SI un kodu parakstīšanas sistēmai ir nepieciešama milzīga uzticēšanās. Paplašinot, ļaunprogrammatūra ir ļaunprātīga, neuzticama, un tai nevajadzētu būt piekļuvei sertifikātu iestādei vai koda parakstīšanai. Par laimi, praksē tieši tā sistēma darbojas.

Kamēr ļaundabīgās programmatūras izstrādātāji un hakeri, protams, neatrod ceļu.

Hakeri zog sertifikātu iestāžu sertifikātus

Jūsu antivīruss zina, ka ļaunprātīga programmatūra ir ļaunprātīga, jo tā negatīvi ietekmē jūsu sistēmu. Tas izsauc brīdinājumus, lietotāji ziņo par problēmām, un antivīruss var izveidot ļaunprātīgas programmatūras parakstu, lai aizsargātu citus datorus, izmantojot to pašu pretvīrusu rīku.

Tomēr, ja ļaunprātīgas programmatūras izstrādātāji var parakstīt savu ļaunprātīgo kodu, izmantojot oficiālu kriptogrāfijas parakstu, nekas no tā nenotiks. Tā vietā ar kodu parakstītā ļaunprogrammatūra iziet cauri ārdurvīm, kad pretvīrusu līdzeklis un operētājsistēma izvelk sarkano paklāju.

Trend mikro pētījumi atklāja, ka pastāv viss ļaunprātīgas programmatūras tirgus, kas atbalsta ar kodu parakstītu ļaunprātīgas programmatūras attīstību un izplatīšanu. Ļaunprātīgas programmatūras operatori iegūst piekļuvi derīgiem sertifikātiem, kurus viņi izmanto, lai parakstītu ļaunprātīgu kodu. Šajā tabulā parādīts ļaunprātīgas programmatūras daudzums, izmantojot kodu parakstīšanu, lai izvairītos no antivīrusa, sākot ar 2018. gada aprīli.

tendence ar mikrokodiem parakstīta ļaunprātīgas programmatūras veida tabula

Trend Micro pētījumā atklājās, ka apmēram 66 procenti no paraugā iekļautās ļaunprogrammatūras ir parakstīti ar kodu. Turklāt dažiem ļaunprātīgas programmatūras veidiem ir vairāk kodu parakstīšanas gadījumu, piemēram, Trojas zirgi, pilinātāji un izpirkuma programmatūra. (Šeit ir septiņi veidi, kā izvairīties no izpirkuma programmatūras uzbrukuma 7 veidi, kā izvairīties no tā, ka Ransomware to ietekmēRansomware var burtiski sabojāt jūsu dzīvi. Vai jūs darāt pietiekami, lai nezaudētu savus personiskos datus un fotoattēlus digitālai izspiešanai? Lasīt vairāk !)

No kurienes nāk kodu parakstīšanas sertifikāti?

Ļaunprātīgas programmatūras izplatītājiem un izstrādātājiem ir divas iespējas attiecībā uz oficiāli parakstītu kodu. Sertifikāti tiek nozagti no sertifikātu iestādes (tieši vai tālākpārdošanai), vai arī hakeris var mēģināt atdarināt likumīgu organizāciju un viltot viņu prasības.

Kā jūs varētu gaidīt, sertifikātu iestāde ir satraucošs mērķis jebkuram hakerim.

Tas nav tikai hakeri, kas veicina ar kodu parakstītu ļaunprātīgas programmatūras pieaugumu. Iespējams, negodīgi pārdevēji, kuriem ir piekļuve likumīgiem sertifikātiem, uzticamus kodu parakstīšanas sertifikātus pārdod arī ļaunprātīgas programmatūras izstrādātājiem un izplatītājiem. Drošības pētnieku komanda no Masarikas universitātes Čehijā un Merilendas kiberdrošības centra (KC) atklāja četras organizācijas, kas pārdod [PDF] Microsoft Authenticode sertifikāti anonīmiem pircējiem.

"Jaunākie Windows koda parakstīšanas sertifikātu ekosistēmas mērījumi ir parādījuši dažādus ļaunprātīgas izmantošanas veidus, kas ļauj ļaunprātīgas programmatūras autoriem ražot ļaunprātīgu kodu ar derīgiem ciparparakstiem."

Kad ļaunprātīgas programmatūras izstrādātājam ir Microsoft Authenticode sertifikāts, viņi var parakstīt jebkuru ļaunprātīgu programmatūru, mēģinot noliegt Windows drošības kodu parakstīšanu un sertifikātu balstītu aizsardzību.

Citos gadījumos, nevis zagt sertifikātus, hakeris apdraudēs programmatūras veidošanas serveri. Kad jauna programmatūras versija tiek publiskota, tai ir likumīgs sertifikāts. Hakeris var arī procesā iekļaut viņu ļaunprātīgo kodu. Par neseno šāda veida uzbrukuma piemēru varat lasīt zemāk.

3 Ar kodu parakstīti ļaunprātīgas programmatūras piemēri

Kā izskatās ar kodu parakstīta ļaunprātīga programmatūra? Šeit ir trīs ļaunprātīgas programmatūras paraksti, kas parakstīti ar kodu:

Stuxnet ļaunprogrammatūra. Ļaunprātīgā programmatūra, kas atbildīga par Irānas kodolprogrammas iznīcināšanu, izplatīšanai izmantoja divus nozagtus sertifikātus, kā arī četrus dažādus nulles dienas ekspluatācijas gadījumus. Sertifikāti tika nozagti no diviem atsevišķiem uzņēmumiem - JMicron un Realtek -, kuriem bija viena ēka. Stuxnet izmantoja nozagtos sertifikātus, lai izvairītos no toreiz tikko ieviestās Windows prasības, ka visiem draiveriem ir nepieciešama verifikācija (draivera parakstīšana).
Asus servera pārkāpums. Kaut kad no 2018. gada jūnija līdz novembrim hakeri pārkāpa Asus serveri, kuru uzņēmums izmanto, lai lietotājiem atjauninātu programmatūras atjauninājumus. Pētnieki Kaspersky Lab konstatēja, ka apkārt 500 000 Windows mašīnu saņēma ļaunprātīgu atjauninājumu, pirms kāds to saprata. Tā vietā, lai nozagtu sertifikātus, hakeri parakstīja savu ļaunprātīgo programmatūru ar likumīgiem Asus digitālajiem sertifikātiem, pirms programmatūras serveris izplatīja sistēmas atjauninājumu. Par laimi, ļaunprogrammatūra bija ļoti mērķtiecīga, ar kodētu kodu, lai meklētu 600 īpašas mašīnas.
Liesmas ļaunprogrammatūra. Flame modulārā ļaundabīgās programmatūras variants ir paredzēts Tuvo Austrumu valstīm, izmantojot krāpnieciski parakstītus sertifikātus, lai izvairītos no atklāšanas. (Kas jebkurā gadījumā ir modulāra ļaunprogrammatūra Modulāra ļaunprogrammatūra: jauns slepens uzbrukums, kas zog jūsu datusĻaunprātīgo programmatūru ir kļuvis grūtāk atklāt. Kas ir modulārā ļaundabīgā programmatūra un kā jūs to apturējat, lai nodarītu postu datorā? Lasīt vairāk ?) Liesmas izstrādātāji izmantoja vāju kriptogrāfijas algoritmu, lai maldīgi parakstītu koda parakstīšanas sertifikātus, liekot izskatīties tā, it kā Microsoft būtu tos parakstījis. Atšķirībā no Stuxnet, kurā bija iznīcinošs elements, Flame ir rīks spiegošanai, meklējot PDF, AutoCAD failus, teksta failus un citus svarīgus rūpniecības dokumentu veidus.

Kā izvairīties no ļaunprātīgas programmatūras, kas parakstīta ar kodu

Trīs dažādi ļaunprātīgas programmatūras varianti, trīs dažādi koda parakstīšanas uzbrukuma veidi. Labā ziņa ir tā, ka lielākā daļa šāda veida ļaundabīgo programmu vismaz šobrīd ir ļoti mērķtiecīgi.

Faktiski tas ir tāpēc, ka tādu ļaunprātīgas programmatūras variantu panākumu līmeņa dēļ, kas izmanto kodu parakstīšanu, lai izvairītos no tā atklājot, sagaidiet, ka vairāk ļaunprātīgas programmatūras izstrādātāju izmantos šo paņēmienu, lai pārliecinātos par viņu pašu uzbrukumiem veiksmīgs.

Tāpat arī tas ir ārkārtīgi grūti aizsargāt pret ļaunprātīgu programmatūru, kas parakstīta ar kodu. Sistēmas un pretvīrusu komplekta atjaunināšana ir būtiska, izvairieties no noklikšķināšanas uz nezināmām saitēm un pirms sekošanas vēlreiz pārbaudiet, kur jebkura saite jūs aizved.

Izņemot antivīrusu atjaunināšanu, pārbaudiet mūsu kā jūs varat izvairīties no ļaunprātīgas programmatūras Ar pretvīrusu programmatūru nepietiek: 5 lietas, kas jums jādara, lai izvairītos no ļaunprātīgas programmatūrasPēc pretvīrusu programmatūras instalēšanas palieciet drošībā tiešsaistē, veicot drošākas skaitļošanas darbības, ievērojot šīs darbības. Lasīt vairāk !

Gavins ir MUO vecākais rakstnieks. Viņš ir arī MakeUseOf šifrētās māsas vietnes Blocks Decoded redaktors un SEO vadītājs. Viņam ir BA (Hons) mūsdienu rakstīšana ar digitālās mākslas praksi, kas izveidota no Devonas pakalniem, kā arī vairāk nekā desmit gadu profesionāla rakstīšanas pieredze. Viņš bauda lielu daudzumu tējas.

About Technology - denizatm.com

Kas ir ar kodu parakstīta ļaunprogrammatūra un kā no tā izvairīties?

Kas ir ar kodu parakstīta ļaunprogrammatūra?

Hakeri zog sertifikātu iestāžu sertifikātus

No kurienes nāk kodu parakstīšanas sertifikāti?

3 Ar kodu parakstīti ļaunprātīgas programmatūras piemēri

Kā izvairīties no ļaunprātīgas programmatūras, kas parakstīta ar kodu

Kategorijas

Recent Post

Vai es varu izmantot 3D projektoru, lai atskaņotu 3D filmas ar savu ASUS UX31A klēpjdatoru?

Kā es varu atbloķēt Compaq Presario CQ42 skārienpaliktni, ja tas tiek bloķēts datora lietošanas laikā?

Kur var iegūt Windows atzīmi reāllaika ziņām, kuras var pielāgot saturam?