קספרסקי: השימוש של קוד זדוני בתעודות דיגיטליות הכפיל את עצמו ב- 2014

על פי מעבדת קספרסקי מספר התעודות הדיגיטליות שאינן אמינות, אשר שימשו כדי ליצור חתימה דיגיטלית לתוכנות זדוניות, הכפיל את עצמו במהלך השנה שחלפה. עד סוף שנת 2014 בסיס נתוני האנטי וירוס של מעבדת קספרסקי כלל יותר מ- 6,000 תעודות כאלו. על רקע המספר הגדל של איומים הקשורים לחתימה דיגיטלית על קבצים זדוניים, מייעצים מומחי מעבדת קספרסקי למנהלי מערכות ולמשתמשים שלא לבטוח בכל מצב בחתימות דיגיטליות, ולא להרשות הפעלה של קבצים חתומה רק משום שיש להם חתימה.

"כותבי וירוסים גונבים ומחקים חתימות כשרות כדי לגרום למשתמשים ולפתרונות אנטי וירוס לבטוח בקובץ. מעבדת קספרסקי רואה שימוש בטכניקה זו מצד גורמי ריגול מקוון ואיומים מתמשכים זה כבר מספר שנים", אמר אנדריי לאדיקוב, ראש מחקר אסטרטגי במעבדת קספרסקי.

תולעת הסטוקסנט הידועה לשמצה השתמשה בתעודה שנגנבה מ- Realtek ו- JMicron. כנופיית Winntiגנבה תעודות מחברות גיימינג שנפרצו והשתמשה בהן בהתקפות חדשות. יותר מכך, ישנן דוגמאות לכך שאותן תעודות שימשו במסגרת תקיפה שביצעה קבוצת האקרים סינים אחרת, דבר המעיד על שוק מחתרתי לתעודות. כנופיית Darkhotelחתמה את פרצת הדלת האחורית שלה באמצעות תעודה דיגיטלית, וכנראה הייתה לה גישה למפתחות סודיים שנדרשים כדי לזייף את התעודות.

כדי להפחית את הסיכון להפעלת קוד זדוני חדש שסורקי וירוסים אינם מכירים, ושהמחשב שלך 'מאמין' שהוא מגובה בתעודת אמינות, חיוני לשמור על שליטה גדולה יותר על קבצים חתומים באמצעות הגנת אנטי וירוס מתאימה ולעקוב אחר מדיניות האבטחה:

1. להטיל איסור על הפעלת תוכנות חתומות דיגיטלית מצד ספק תוכנה בלתי מוכר: רוב התעודות הגנובות מגיעות ממפתחים קטנים.

2. כאשר נתקלים בתעודה ממרכז אישורים שאינו מוכר, לא להתקין אותם באחסון.

3. לא לאפשר להפעיל תוכנות החתומות בתעודה אמינה רק על בסיס שם התעודה. בדוק מאפיינים נוספים, כגון מספר סידורי ותביעת האצבע של התעודה (סכום ה- hash)

4. התקן את עדכון Microsoft MS13-098 update– הוא מחסל את השגיאה שמאפשרת לכלול מידע נוסף בקובץ ללא הפרת החתימה של הקובץ.

5. השתמש  בפתרון אנטי וירוס שיש לו בסיס נתונים של תעודות אמינות ושאינן אמינות

 

מידע נוסף אפשר למצוא בבלוג Securelist.com

דילוג לתוכן