Z danych Kaspersky Lab wynika, że liczba niezaufanych certyfikatów wykorzystywanych do podpisywania szkodliwego oprogramowania zwiększyła się dwukrotnie w ciągu ubiegłego roku i wynosi ponad 6 000. Wniosek jest jeden – pliki podpisane cyfrowo należy dodatkowo kontrolować przed uruchomieniem. Twórcy szkodliwego oprogramowania kradną oraz imitują legalne sygnatury, aby przekonać użytkowników oraz systemy operacyjne, że dany plik jest bezpieczny.
– Kaspersky Lab od wielu lat obserwuje wykorzystywanie tej techniki przez cyberprzestępców odpowiedzialnych za zaawansowane długotrwałe zagrożenia – powiedział Andriej Ladikow, szef działu badań strategicznych, Kaspersky Lab.
Biorąc pod uwagę wzrastającą liczbę zagrożeń związanych z podpisywaniem szkodliwych plików, eksperci z Kaspersky Lab zalecają użytkownikom, a w szczególności administratorom sieci firmowych, aby nie zezwalali na uruchamianie plików wyłącznie na podstawie podpisów.
Niesławny robak Stuxnet wykorzystywał certyfikaty skradzione z firm Realtek oraz JMicron. Gang Winnti kradł certyfikaty ze zhakowanych firm zajmujących się tworzeniem gier oraz wykorzystywał je w nowych atakach. Co więcej, znane są przykłady wykorzystania tych samych certyfikatów w atakach przeprowadzanych przez inne grupy cyberprzestępców, co sugeruje istnienie dobrze prosperującego czarnego rynku. Grupa stojąca za kampanią cyberszpiegowską Darkhotel zwykle podpisywała cyfrowo swoje moduły i najprawdopodobniej posiadała dostęp do sekretnych kluczy niezbędnych do generowania fałszywych certyfikatów.
Aby zmniejszyć ryzyko uruchomienia na komputerze nowego szkodliwego oprogramowania, które posiada – według systemu operacyjnego – ważny certyfikat cyfrowy, niezbędne jest zapewnienie zwiększonej kontroli nad podpisanymi plikami przy użyciu skutecznej ochrony antywirusowej oraz przestrzeganie podstawowych zasad bezpieczeństwa:
- Wprowadź zakaz uruchamiania programów, które są podpisane cyfrowo przez nieznanego twórcę oprogramowania: większość skradzionych certyfikatów pochodzi od drobnych twórców.
- Nie instaluj certyfikatów pochodzących z nieznanych centrów certyfikacji.
- Nie zezwalaj na uruchomienie programów podpisanych przez zaufane certyfikaty wyłącznie na podstawie nazwy certyfikatu. Sprawdź inne atrybuty, takie jak numer seryjny oraz cyfrowy odcisk palca certyfikatu.
- Zainstaluj aktualizację Microsoft MS13-098 usuwającą błąd, który powala na zapisanie dodatkowych danych (także niebezpiecznych) w plikach podpisanych cyfrowo.
- Korzystaj z rozwiązania antywirusowego, które posiada własną bazę zaufanych i niezaufanych certyfikatów.