Studie: Untergrundhandel mit gültigen Softwarezertifikaten

Studie: Untergrundhandel mit gültigen Softwarezertifikaten

Sicherheitsforscher der Masaryk University in Tschechien und des Maryland Cybersecurity Center (MCC) der University of Maryland haben verdächtige Organisationen überwacht und bei vier von ihnen festgestellt, dass sie Microsoft Authenticode-Zertifikate an anonyme Interessenten verkaufen. Das gleiche Forscherteam entdeckte auch eine Reihe von Windows-Malware mit gültigen digitalen Signaturen. In einer Studie hielten sie ihre Ergebnisse fest, berichtet Infosecurity Magazine.

Aufwändige Studienarbeit hat sich ausgezahlt: Die Ergebnisse geben detaillierte Einblicke

Als Material für ihre Analyse haben die Wissenschaftler ca. 2,12 Millionen Dateien durchforscht. Darunter fanden sie mehr als 188.000, die sie als schädlich einstuften, davon waren 14.221 Schadprogramme korrekt zertifiziert. Auf digital signierte Malware wurde man erstmals 2010 im Zusammenhang mit Stuxnet, einem Schadprogramm, aufmerksam.

Ziel der aktuellen Studie der Wissenschaftler war es, Klarheit zu gewinnen über den Umfang des Untergrundhandels hinsichtlich gültiger Softwarezertifikate. Um etwas über die Verbreitung von Code-Signing-Zertifikaten zu erfahren, beschäftigten sich die Forscher unter anderem auch mit signierter Malware. Sie kamen dabei zu der Schlussfolgerung, dass digitale Zertifikate nicht mehr von kompromittierten Entwicklern stammen. Vielmehr kommen sie von einem florierenden Untergrundmarkt für Zertifikate von Malware-Autoren. „Zertifikate, die für den Missbrauch ausgestellt wurden, stellen ein aufstrebendes Segment der Schattenwirtschaft dar.“, so das Ergebnis der Studie.

“Kürzlich durchgeführte Messungen des Ecosystems für Windows-Codesignaturen haben verschiedene Formen des Missbrauchs aufgezeigt, die es Malware-Autoren ermöglichen, bösartigen Code mit gültigen digitalen Signaturen zu erstellen”, schreiben die Forscher weiter. Bei ihrer Arbeit fanden sie zudem mehrere Fälle potenziell unerwünschter Programme (PUPs) und entdeckten, dass bösartige Akteure nicht nur fähig waren, Schadcode zu signieren, sondern auch die Kontrolle über eine Reihe von Authenticode-Zertifikaten hatten.

Das illegale Geschäft boomt – alles eine Frage des Preises

Für die Zertifikate verlangte man in englischen und russischen Untergrundforen – je nach Art des Zertifikats und Reputation zwischen 350 und 7000 Dollar. Der erfolgreichste Anbieter von Zertifikaten unterhielt einen eigenen Online-Shop und verkaufte im Durchschnitt pro Monat ca. 10 Zertifikate im Wert von rund 16.150 Dollar. Die Forscher stellten fest, dass ungefähr die Hälfte dieser im Shop verkauften Zertifikate für die Signierung von Schadsoftware verwendet wurde.

Mit digital signierter Malware lassen sich Schutzmechanismen aushebeln

Digital signierte Malware ist anderer Malware nicht unähnlich. Der Unterschied jedoch ist, dass sie mit einem Zertifikat signiert wurde, dem das Endgerät vertraut und so Schutzmechanismen umgeht. Zahlreiche Anbieter verwenden Zertifikate, um Kunden zu zeigen, dass die entsprechende Datei vom Anbieter stammt und keinen Schadcode enthält. Firmen können so festlegen, welche digital signierte Software sicher ist und die entsprechenden ausführbaren Dateien auf eine Whitelist setzen. Allerdings beruht der Prozess darauf, dass sämtliche digital signierten Programme auch tatsächlich vom Anbieter stammen.

Digital signierte Malware – Ein Fest für Hacker

Böswillige Hacker finden immer neue Schwachstellen, auch, um in die Netzwerke von Unternehmen einzudringen. Dafür verwenden sie unter anderem digital signierte Software. Um also den Schutz der Plattformen zu umgehen und sich gleichzeitig als vertrauenswürdig ausführbare Datei auszuweisen, muss der Cyberkriminelle für die Malware eine gültige Signatur finden. Digital signierte Malware, die durch ein Zertifikat als vertrauenswürdig gekennzeichnet ist, wird über die Whitelist erlaubt und umgeht so den Sandboxing-Prozess. Gibt es keine weiteren Schutzmechanismen, die diese Datei als schädlich erkennen lässt, kann die Malware das System kompromittieren. Sobald der Schadcode auf dem Zielsystem angekommen ist, kann dieser alle Aktionen ausführen zu denen auch der jeweilige Anwender berechtigt ist. Ein Warnung, dass eine nicht-signierte Datei ausgeführt wird, erfolgt nicht. Den Forschern zufolge lassen sich missbrauchte Zertifikate auch nicht durch systematische Netzwerkscans aufspüren. Digital signierte Software kann jedoch nicht nur verschiedene Sicherheitsmaßnahmen problemlos umgehen, sondern in vielen Fällen auch gängige Anti-Malware-Produkte austricksen.

Auch Windows-Malware trägt gültige digitale Signaturen

In der Studie gelangen die Forscher zu dem Ergebnis, dass Authenticode-Zertifikate von Microsoft, die für die Signierung von nicht installierten, ausführbaren Dateien verwendet werden, ein geeignetes Werkzeug für Cyberkriminelle sind. Diese Zertifikate sollen den Autoren von Schadsoftware in erster Linie dabei unterstützen, Microsofts Sicherheitstechnik Defender SmartScreen zu umgehen, der ausführbare Dateien vor ihrem Start prüft und deren Vertrauenswürdigkeit unter anderem anhand des Zertifikats der Datei einschätzt. Ist das Zertifikat ok, kann die Datei passieren.

Zusammenfassung

Die Forscher fassen die Resultate ihrer Auswertungen wie folgt zusammen: „Unsere Ergebnisse deuten darauf hin, dass es für spezialisierte Anbieter möglich ist, einen zuverlässigen Prozess zur Erlangung von Codesigning-Zertifikaten von Certificate Authorities einzurichten. Der Untergrundhandel wächst und mindestens ein Teil des Kundenstamms zeigt ein gewisses Vertrauen in die Zuverlässigkeit der Zertifikatsversorgung.“

Bildquelle: mohamed_hassan, thx! (CC0 Public Domain)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.