Warnung: Digital signierte Malware ist auf dem Vormarsch

Das Signieren von Code ist theoretisch ein hervorragendes Instrument zur Unterscheidung zwischen legitimen ausführbaren Dateien und verdächtiger, potenziell schädlicher Malware. Die jüngsten Einreichungen in Online-Bedrohungsdatenbanken zeigen jedoch einen besorgniserregenden Trend: Immer mehr echte Malware wird mit sehr echten Zertifikaten von echten Behörden verbreitet.

Im Laufe von rund 12 Monaten hat VirusTotal, ein Dienst, der Bedrohungsproben mit einer Vielzahl von Tools und Methoden sammelt, katalogisiert und analysiert, fast 4000 verschiedene Schadprogramme gesammelt, die alle von legitimen Zertifizierungsstellen digital signiert wurden. Zu den Institutionen, die diese Zertifikate ausstellen, gehörten Entrust, DigiCert, Go Daddy, GlobalSign, Sectigo und VeriSign. Die Daten stammen aus einem Bericht, der von Mediums Chronicle Blog veröffentlicht wurde.

Möglicherweise ist mehr digital signierte Malware vorhanden als ursprünglich angenommen

Darüber hinaus gelten die angegebenen Zahlen auch als recht konservativ und geben möglicherweise keinen Hinweis auf die tatsächliche Verbreitung von digital signierter Malware, da bei deren Erstellung eine Reihe restriktiver Kriterien angewendet wurden. Die 3.815 signierten Malware-Beispiele wurden beim Durchsuchen nur von tragbaren Windows-Programmen entdeckt und enthielten keine Dateien, die nicht mindestens 15 Erkennungen von verschiedenen Engines auslösten.

Wie Sicherheitsforscher hervorhoben, ist digital signierte Malware eine große Sache, da sie den problemlosen Betrieb schwerwiegender Bedrohungen in Umgebungen ermöglicht, in denen ansonsten gute Sicherheitsmaßnahmen getroffen werden. Die größte Anzahl von Zertifikaten, die für tatsächliche Malware ausgestellt wurden , stammte anscheinend von Sectigo, das früher unter dem Namen Comodo bekannt war. Mehr als die Hälfte der 3.815 Erkennungen wurde von Sectigo zertifiziert. Diese Verbreitung ist wahrscheinlich darauf zurückzuführen, dass Sectigo auch die größte Zertifizierungsstelle der Gruppe ist.

Schlechte Schauspieler arbeiten ungestraft mit Wegwerf-LLC-Unternehmen und kaufen Zertifikate mit diesen Unternehmen, ohne sich als etabliertes Unternehmen auszugeben. Die Zertifizierungsstellen begannen schnell, Zertifikate für Malware zu widerrufen, wobei einige schneller arbeiteten als andere. Die Tatsache, dass schlechte Akteure von legitimen Behörden einen so unmittelbaren und einfachen Zugang zur Code-Zertifizierung haben, kann nur durch die Anwendung strengerer Sorgfaltspflichten und -verfahren behoben werden.