Podpisywanie kodu to metoda stosowania podpisu cyfrowego opartego na certyfikatach dla fragmentu oprogramowania, dzięki czemu system operacyjny i użytkownicy mogą określić jego bezpieczeństwo. Tylko odpowiednie oprogramowanie może używać odpowiedniego podpisu cyfrowego.
Użytkownicy mogą bezpiecznie pobierać i instalować oprogramowanie, a programiści chronią reputację swoich produktów poprzez podpisywanie kodu. Jednak hakerzy i dystrybutorzy złośliwego oprogramowania używają dokładnie tego systemu, aby uzyskać złośliwy kod za pośrednictwem pakietów antywirusowych i innych programów zabezpieczających . Czym zatem jest złośliwe oprogramowanie podpisane kodem i jak działa?
Co to jest złośliwe oprogramowanie podpisane kodem?
Kiedy oprogramowanie jest podpisane cyfrowo, oznacza to, że posiada oficjalny podpis cyfrowy. Urząd certyfikacji wystawia certyfikat dla oprogramowania w celu sprawdzenia, czy oprogramowanie jest legalne i bezpieczne w użyciu.
Użytkownicy nie będą musieli się martwić, ponieważ system operacyjny sprawdzi certyfikat i zweryfikuje podpis cyfrowy. Na przykład system Windows korzysta z łańcucha certyfikatów zawierającego wszystkie niezbędne certyfikaty, aby mieć pewność, że oprogramowanie jest legalne.
Łańcuch certyfikatów zawiera wszystkie certyfikaty niezbędne do certyfikacji podmiotu identyfikowanego przez certyfikat końcowy. W rzeczywistości składa się z certyfikatu terminala, certyfikatu pośredniego urzędu certyfikacji i certyfikatu głównego urzędu certyfikacji, któremu ufają wszystkie strony w łańcuchu. Każdy pośredni certyfikat urzędu certyfikacji w łańcuchu zawiera certyfikat wydany przez urząd certyfikacji znajdujący się o jeden poziom wyżej. Główny urząd certyfikacji wystawia dla siebie certyfikaty.
Gdy system zostanie uruchomiony, możesz zaufać oprogramowaniu, systemowi podpisywania kodu i urzędowi certyfikacji. Złośliwe oprogramowanie jest złośliwym oprogramowaniem, nie jest zaufane i nie ma dostępu do urzędu certyfikacji ani do podpisywania kodu.
Hakerzy kradną certyfikaty z urzędu certyfikacji
Oprogramowanie antywirusowe wie, że złośliwe oprogramowanie jest złośliwe, ponieważ negatywnie wpływa na Twój system. Powoduje wyświetlenie ostrzeżeń, użytkownicy zgłaszają problemy, a oprogramowanie antywirusowe może tworzyć sygnatury złośliwego oprogramowania, aby chronić inne komputery korzystające z tego samego silnika antywirusowego.
Jeśli jednak twórcy złośliwego oprogramowania mogliby podpisywać złośliwe oprogramowanie przy użyciu oficjalnych podpisów cyfrowych, powyższy proces nie miałby miejsca. Zamiast tego złośliwe oprogramowanie Code-singed może przedostać się do systemu oficjalną drogą, ponieważ oprogramowanie antywirusowe i system operacyjny nie wykrywają niczego niebezpiecznego.
Według badań Trend Micro cały rynek złośliwego oprogramowania koncentruje się na wspieraniu rozwoju i dystrybucji złośliwego oprogramowania podpisanego kodem. Operatorzy złośliwego oprogramowania mają dostęp do ważnych certyfikatów używanych do podpisywania złośliwego kodu. Poniższa tabela przedstawia liczbę złośliwego oprogramowania wykorzystującego podpisywanie kodu w celu ominięcia oprogramowania antywirusowego od kwietnia 2018 r.
Badanie Trend Micro pokazuje również, że około 66% złośliwego oprogramowania ma podpisy cyfrowe. Ponadto istnieje kilka specyficznych typów złośliwego oprogramowania, które mają wiele wersji podpisów cyfrowych, takich jak trojany , droppery i oprogramowanie ransomware .
Skąd pochodzi cyfrowy certyfikat do podpisywania kodu?
Dystrybutorzy i programiści złośliwego oprogramowania mają dwa sposoby tworzenia złośliwego oprogramowania podpisanego kodem. Kradną certyfikaty z urzędu certyfikacji, bezpośrednio lub pozyskując lub podszywając się pod legalną organizację i żądając certyfikatu od urzędu certyfikacji.
Jak widać, Kalifornia nie jest jedynym celem hakerów. Dystrybutorzy mający dostęp do legalnych certyfikatów mogą sprzedawać zaufane, podpisane cyfrowo certyfikaty twórcom i dystrybutorom złośliwego oprogramowania.
Zespół badawczy ds. bezpieczeństwa z Uniwersytetu Masaryka w Czechach i Maryland Cybersecurity Center odkrył cztery organizacje sprzedające certyfikaty Microsoft Authenticode anonimowym nabywcom. Gdy twórca złośliwego oprogramowania uzyska certyfikat Microsoft Authenticode, może podpisać dowolne potencjalne złośliwe oprogramowanie poprzez podpisywanie kodu i ochronę opartą na certyfikatach.
W niektórych innych przypadkach zamiast kraść certyfikaty, hakerzy przedostaną się do serwera kompilacji oprogramowania. Kiedy zostanie wydana nowa wersja oprogramowania, będzie ona posiadała prawidłowy certyfikat. Hakerzy wykorzystują ten proces, aby dodać złośliwy kod.
Przykład złośliwego oprogramowania podpisanego kodem
Jak zatem wygląda złośliwe oprogramowanie podpisane kodem? Poniżej znajdują się trzy przykłady tego typu złośliwego oprogramowania.
Jak uniknąć złośliwego oprogramowania podpisanego kodem?
Ten typ złośliwego oprogramowania wykorzystuje podpisywanie kodu, aby uniknąć wykrycia przez oprogramowanie i systemy antywirusowe, dlatego ochrona przed złośliwym oprogramowaniem podpisanym kodem jest niezwykle trudna. Niezbędna jest zawsze aktualizacja oprogramowania i systemów antywirusowych. Unikaj klikania nieznanych linków i dokładnie sprawdzaj , skąd pochodzi link, zanim go klikniesz. Zapoznaj się z artykułem Zagrożenia związane ze złośliwym oprogramowaniem i sposobami ich uniknięcia .
One UI zastępuje Samsung Experience jako niestandardowy interfejs firmy Samsung dla systemu Android. Jest uproszczony, przejrzysty i zaprojektowany tak, aby wyświetlać tylko najważniejsze informacje, co ogranicza rozpraszanie uwagi.
Decybel (dB) to standardowa jednostka miary używana do pomiaru siły sygnałów sieci przewodowej i bezprzewodowej.
Wirtualne sieci prywatne są niedrogie, łatwe w użyciu i stanowią ważny element konfiguracji komputerów i smartfonów. Wraz z zaporą sieciową i rozwiązaniem antywirusowym/antymalware powinieneś zainstalować VPN, aby każda chwila spędzona w Internecie była całkowicie prywatna.
Telnet to protokół wiersza poleceń używany do zdalnego zarządzania różnymi urządzeniami, takimi jak serwery, komputery PC, routery, przełączniki, kamery, zapory ogniowe.
Kiedy ktoś omawia ochronę wrażliwych danych, prawdopodobnie usłyszysz termin „uszkodzenie danych”. Czym więc jest „uszkodzenie danych” i jak naprawić pliki, jeśli coś pójdzie nie tak?
Catalyst Control Center to narzędzie dostarczane ze sterownikiem, pomagające w obsłudze kart graficznych AMD. Pojawia się jako CCC.exe w Menedżerze zadań użytkownika i w większości przypadków nigdy nie będziesz musiał się tym martwić.
Podpisywanie kodu to metoda stosowania podpisu cyfrowego opartego na certyfikatach dla fragmentu oprogramowania, dzięki czemu system operacyjny i użytkownicy mogą określić jego bezpieczeństwo. Co to jest złośliwe oprogramowanie podpisane kodem i jak działa?
W miarę ewolucji otaczającej nas technologii, aby nadążać za trendem, należy przenieść także zapory ogniowe do chmury. Dlatego narodził się termin „zapora w chmurze”.
W 2017 r. badacze bezpieczeństwa wykrywali codziennie około 23 000 próbek złośliwego oprogramowania, co stanowi około 795 szkodliwych programów generowanych co godzinę. Niedawno pojawił się nowy, bardzo wyrafinowany szkodliwy program o nazwie Mylobot.
NTFS, FAT32, exFAT to systemy plików w systemie Windows, ale konkretnie czym jest NTFS, czym jest FAT32, czym jest exFAT, jakie są ich podobieństwa i różnice? Zapraszamy Czytelników do zapoznania się z tym artykułem.
