Code-ondertekening is een methode om een op een certificaat gebaseerde digitale handtekening te gebruiken voor een stukje software, zodat het besturingssysteem en de gebruikers de veiligheid ervan kunnen bepalen. Alleen de juiste software kan de bijbehorende digitale handtekening gebruiken.
Gebruikers kunnen software veilig downloaden en installeren en ontwikkelaars beschermen de reputatie van hun producten met Code Signing. Hackers en malwaredistributeurs gebruiken echter precies dat systeem om kwaadaardige code via antivirussuites en andere beveiligingsprogramma's te verkrijgen . Dus wat is Code-signed malware en hoe werkt het?
Wat is Code Signed-malware?
Wanneer software digitaal ondertekend is, betekent dit dat deze een officiële digitale handtekening heeft. De certificeringsinstantie geeft een certificaat af voor software om vast te stellen dat de software legaal en veilig te gebruiken is.
Gebruikers hoeven zich geen zorgen te maken, omdat het besturingssysteem het certificaat controleert en de digitale handtekening verifieert. Windows gebruikt bijvoorbeeld een certificaatketen die alle noodzakelijke certificaten bevat om te garanderen dat de software legitiem is.
De certificaatketen bevat alle certificaten die nodig zijn om de entiteit te certificeren die door het eindcertificaat wordt geïdentificeerd. Feitelijk bestaat het uit een terminalcertificaat, een tussenliggend CA-certificaat en een root-CA-certificaat dat door alle partijen in de keten wordt vertrouwd. Elk tussenliggend CA-certificaat in de keten bevat een certificaat dat één niveau daarboven is uitgegeven door de CA. De root-CA geeft certificaten voor zichzelf uit.
Zodra het systeem operationeel is, kunt u vertrouwen op de software, het codeondertekeningssysteem en de CA. Malware is schadelijke software, wordt niet vertrouwd en heeft geen toegang tot certificaatautoriteit of codeondertekening.
Hackers stelen certificaten van de certificeringsinstantie
Antivirussoftware weet dat malware schadelijk is, omdat deze een negatieve invloed heeft op uw systeem. Het activeert waarschuwingen, gebruikers melden problemen en antivirussoftware kan malwarehandtekeningen creëren om andere computers te beschermen die dezelfde antivirusengine gebruiken.
Als makers van malware echter malware zouden kunnen ondertekenen met behulp van officiële digitale handtekeningen, zou het bovenstaande proces niet plaatsvinden. In plaats daarvan kan code-singed malware het systeem binnendringen via de officiële route, omdat uw antivirussoftware en besturingssysteem niets gevaarlijks detecteren.
Volgens onderzoek van Trend Micro is de gehele malwaremarkt gericht op het ondersteunen van de ontwikkeling en distributie van Code-signed malware. Malware-operators hebben toegang tot geldige certificaten die worden gebruikt om kwaadaardige code te ondertekenen. De onderstaande tabel toont de hoeveelheid malware die Code Signing gebruikt om antivirussoftware te omzeilen sinds april 2018.
Uit het onderzoek van Trend Micro blijkt ook dat ongeveer 66% van de malware digitale handtekeningen heeft. Daarnaast zijn er enkele specifieke soorten malware die meerdere versies van digitale handtekeningen hebben, zoals Trojaanse paarden , droppers en ransomware .
Waar komt het digitale certificaat Code Signing vandaan?
Malwaredistributeurs en -ontwikkelaars hebben twee manieren om met code ondertekende malware te maken. Ze stelen certificaten van de certificeringsinstantie door rechtstreeks een legitieme organisatie over te nemen of zich voor te doen en een certificaat aan te vragen bij de CA.
Zoals u kunt zien, is CA niet de enige plek waar hackers zich op richten. Distributeurs met toegang tot legitieme certificaten kunnen vertrouwde digitaal ondertekende certificaten verkopen aan malware-ontwikkelaars en -distributeurs.
Een beveiligingsonderzoeksteam van de Masaryk Universiteit in Tsjechië en het Maryland Cybersecurity Center ontdekte vier organisaties die Microsoft Authenticode-certificaten verkochten aan anonieme kopers. Zodra een malware-ontwikkelaar een Microsoft Authenticode-certificaat heeft, kan hij alle mogelijke malware ondertekenen via codeondertekening en op certificaten gebaseerde bescherming.
In sommige andere gevallen zullen hackers, in plaats van certificaten te stelen, de softwareversieserver infiltreren. Wanneer een nieuwe softwareversie wordt uitgebracht, heeft deze een legitiem certificaat. Hackers profiteren van dit proces om kwaadaardige code toe te voegen.
Voorbeeld van met code ondertekende malware
Hoe ziet code-ondertekende malware eruit? Hieronder staan drie voorbeelden van dit type malware.
Hoe code-ondertekende malware vermijden?
Dit type malware maakt gebruik van Code Signing om detectie door antivirussoftware en -systemen te voorkomen. Bescherming tegen Code Signed Malware is dus uiterst moeilijk. Het altijd updaten van antivirussoftware en -systemen is essentieel, klik niet op onbekende links en controleer zorgvuldig waar de link vandaan komt voordat u deze volgt. Raadpleeg het artikel Risico's van malware en hoe u deze kunt vermijden .
Eén gebruikersinterface vervangt Samsung Experience als de aangepaste interface van Samsung voor Android. Het is vereenvoudigd, overzichtelijk en ontworpen om alleen essentiële informatie weer te geven, waardoor afleidingen worden verminderd.
Decibel (dB) is een standaard meeteenheid die wordt gebruikt om de sterkte van bekabelde en draadloze netwerksignalen te meten.
Virtuele particuliere netwerken zijn betaalbaar, gebruiksvriendelijk en vormen een belangrijk onderdeel van computer- en smartphone-installaties. Naast uw firewall en antivirus-/antimalware-oplossing moet u een VPN installeren, zodat elk moment dat u online doorbrengt volledig privé is.
Telnet is een opdrachtregelprotocol dat wordt gebruikt om verschillende apparaten, zoals servers, pc's, routers, switches, camera's en firewalls, op afstand te beheren.
Wanneer iemand het behoud van gevoelige gegevens bespreekt, hoor je waarschijnlijk de term ‘datacorruptie’. Dus wat is “gegevenscorruptie” en hoe kunt u uw bestanden herstellen als er iets misgaat?
Catalyst Control Center is een hulpprogramma dat bij de driver wordt geleverd en waarmee AMD-videokaarten kunnen werken. Het verschijnt als CCC.exe in Taakbeheer van de gebruiker en in de meeste gevallen hoeft u zich hier nooit zorgen over te maken.
Code-ondertekening is een methode om een op een certificaat gebaseerde digitale handtekening te gebruiken voor een stukje software, zodat het besturingssysteem en de gebruikers de veiligheid ervan kunnen bepalen. Wat is code-ondertekende malware en hoe werkt het?
Naarmate de technologie om ons heen evolueert, moeten firewalls ook naar de cloud worden gebracht om gelijke tred te houden met de trend. Dat is de reden waarom de term cloudfirewall werd geboren.
In 2017 ontdekten beveiligingsonderzoekers elke dag ongeveer 23.000 malware-samples, wat neerkomt op ongeveer 795 malware-items die elk uur worden geproduceerd. Onlangs is er een nieuw, zeer geavanceerd stukje malware opgedoken, genaamd Mylobot.
NTFS, FAT32, exFAT zijn bestandssystemen op Windows, maar wat is specifiek NTFS, wat is FAT32, wat is exFAT, wat zijn hun overeenkomsten en verschillen? Wij nodigen lezers uit om dit artikel te raadplegen.
