ข่าวเกี่ยวกับการโจมตีของมัลแวร์ที่กำหนดเป้าหมายไปที่ Mac หรือ Windows นั้นไม่ใช่เรื่องใหม่สำหรับผู้ใช้อินเทอร์เน็ตในปัจจุบัน ที่เลวร้ายกว่านั้น ตัวแปรต่างๆ เช่น บูตไวรัส ไฟล์แนบปลอม และไวรัสมาโครได้เข้ามาอยู่ในความสนใจแล้ว หากคุณคิดว่าทุกอย่างเริ่มต้นและสิ้นสุดที่มัลแวร์ คุณคิดผิด เป็นเพียงสัญญาณของสิ่งที่ยังมาไม่ถึง ให้ถือว่าเป็นระฆังที่น่าตกใจ
การศึกษาล่าสุดที่ดำเนินการโดยสถาบันวิจัยความปลอดภัยทางไซเบอร์ (CSRI) เปิดเผยว่าใบรับรองการลงนามรหัสดิจิทัลมีความเสี่ยงอย่างไร เวิร์ม Stuxnet เป็นหนอนชนิดแรกที่ใช้ในการประนีประนอมกระบวนการเสริมสมรรถนะนิวเคลียร์ของอิหร่านในปี 2548 ตัวอย่างล่าสุดเกี่ยวกับการละเมิดใบรับรองการลงนามโค้ดดิจิทัลคือการโจมตี CCleaner
ใบรับรองการเซ็นชื่อรหัสดิจิทัล:
ใบรับรองดิจิทัลเปรียบเสมือนบัตรประจำตัวที่ให้ข้อมูลประจำตัวแก่บุคคลหรือบริษัท ออกโดยผู้ออกใบรับรองที่เชื่อถือได้ (CA)
img src:SSL.org
หน่วยงานออกใบรับรองจะออกใบรับรองดิจิทัลเพื่ออนุมัติตัวตนและอำนาจของผู้ถือ คีย์สาธารณะพร้อมกับข้อมูลระบุตัวตนอื่นๆ ถูกฝังอยู่ในใบรับรองดิจิทัลแต่ละรายการที่ออกให้กับบุคคลหรือบริษัท ใบรับรองเหล่านี้ได้รับการลงนามด้วยการเข้ารหัส เพื่อรับรองความถูกต้องของข้อมูลและยืนยันการใช้งาน
คอมพิวเตอร์จะเชื่อถือแอปพลิเคชันคอมพิวเตอร์หรือซอฟต์แวร์ที่มีใบรับรองดิจิทัล และอนุญาตให้เรียกใช้โปรแกรมโดยไม่มีข้อความเตือน
ใบรับรองดิจิทัลมีความเสี่ยงอย่างไร
ใบรับรองดิจิทัลที่ลงนามอย่างถูกกฎหมายมีจำหน่ายบน Dark Web ในราคาสูงถึง 1,200$ (ต่อใบรับรอง) แฮ็กเกอร์ใช้ใบรับรองเหล่านี้เพื่อเชื่อมโยงโค้ดที่เป็นอันตรายกับผู้จำหน่ายซอฟต์แวร์ที่เชื่อถือได้ ซึ่งจะช่วยลดความเสี่ยงในการตรวจพบมัลแวร์ จึงสามารถเลี่ยงเครือข่ายเป้าหมายและความปลอดภัยของเครื่องของผู้ใช้ได้อย่างง่ายดาย
ฉันต้องกังวลไหม
ทีมนักวิจัยด้านความปลอดภัยจาก University of Maryland, College Park, Doowon Kim, BumJun Kwon และ Tudor Dumitras พบว่ามัลแวร์ที่ลงนามแบบดิจิทัลเป็นที่แพร่หลาย มีการค้นพบตัวอย่างมัลแวร์ที่ลงนามแล้วทั้งหมด 325 ตัวอย่าง โดยที่ 189 มีลายเซ็นดิจิทัลที่ถูกต้อง
"ลายเซ็นที่มีรูปแบบไม่ถูกต้องดังกล่าวมีประโยชน์สำหรับปฏิปักษ์:เราพบว่าการคัดลอกลายเซ็น Authenticode จากตัวอย่างที่ถูกต้องไปยังตัวอย่างมัลแวร์ที่ไม่ได้ลงชื่ออาจช่วยให้มัลแวร์สามารถเลี่ยงการตรวจจับ AV ได้" นักวิจัยกล่าว
27 ของใบรับรองที่ถูกบุกรุกเหล่านี้ได้ถูกเพิกถอนแล้ว แม้ว่าในขณะนี้ 84 ใบรับรองที่เหลือจะยังคงได้รับความเชื่อถือจากระบบจนกว่าจะเพิกถอน
“กลุ่มมัลแวร์ส่วนใหญ่ (88.8%) อาศัยใบรับรองเพียงใบเดียว ซึ่งแสดงให้เห็นว่าใบรับรองที่ไม่เหมาะสมนั้นส่วนใหญ่ควบคุมโดยผู้สร้างมัลแวร์มากกว่าที่จะควบคุมโดยบุคคลที่สาม” ทั้งสามคนกล่าว (ดูวอน คิม, บอมจุน ควอน และทูดอร์ ดูมิทราส จาก มหาวิทยาลัยแมริแลนด์ คอลเลจพาร์ค)
Src:thehackernews.com
แม้ว่าใบรับรองจะถูกเพิกถอนแล้ว นักวิจัยพบว่าอาชญากรไซเบอร์จะไม่ถูกหยุดยั้งจากการใช้ในทางที่ผิดทันที เนื่องจากโปรแกรมป้องกันไวรัสบางโปรแกรมไม่รู้จักโปรแกรมที่เป็นอันตรายในใบรับรองที่ถูกเพิกถอน นั่นคือโค้ดที่เป็นอันตรายจะทำงานบนระบบโดยไม่มีอุปสรรค
แฮกเกอร์สามารถเพิ่มโค้ดที่เป็นอันตรายลงในไฟล์ระบบ Windows ที่ลงนามโดย Microsoft หรือไฟล์ Microsoft Office ได้อย่างง่ายดาย ดังนั้นการซ่อนจากแอปพลิเคชันความปลอดภัยเนื่องจากไฟล์ที่ลงนามโดย Microsoft จะถูกเพิ่มลงในรายการที่อนุญาตพิเศษของโปรแกรมความปลอดภัย สิ่งนี้ทำเพื่อหลีกเลี่ยงการตรวจจับที่ผิดพลาดซึ่งอาจทำให้เกิดการลบไฟล์ระบบที่สำคัญและระบบขัดข้อง
ฉันจะทำอย่างไรเพื่อให้ได้รับการปกป้องอยู่เสมอ
- อัปเดตระบบปฏิบัติการและเบราว์เซอร์ของคุณอยู่เสมอ
- หลีกเลี่ยงการเพิ่ม CA ใหม่ในโซนใบรับรองหลัก
- บล็อกไฟล์ไม่ให้ดาวน์โหลดโดยนักพัฒนาที่ไม่รู้จัก
- ติดตามใบรับรองที่เชื่อถือได้เสมอ
- ติดตั้งโซลูชันการรักษาความปลอดภัยปลายทาง
“มัลแวร์ที่เซ็นชื่อแบบดิจิทัลสามารถเลี่ยงกลไกการป้องกันระบบที่ติดตั้งหรือเปิดเฉพาะโปรแกรมที่มีลายเซ็นที่ถูกต้องเท่านั้น” อ่าน กระดาษ “มัลแวร์ที่ผ่านการรับรอง:การวัดการละเมิดความไว้วางใจใน Windows Code-Signing PKI”
นี่เป็นเรื่องร้ายแรง แฮกเกอร์ที่เข้าถึงใบรับรองที่ถูกต้องหมายความว่าไม่มีสิ่งใดปลอดภัย เนื่องจากโปรแกรมป้องกันไวรัสและระบบจะไม่สามารถระบุภัยคุกคามเหล่านี้ได้ ตอนนี้เป็นการง่ายที่จะหลบเลี่ยงโปรแกรมป้องกันไวรัส
คุณตรวจสอบรายชื่อใบรับรองที่ผู้โจมตีใช้ในทางที่ผิดได้ที่ signedmalware.org
