طبق بررسی پژوهشگران، بدافزارهای فوقالعاده مخفی با امضای دیجیتالی در سایه وب تاریک رو به افزایش هستند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مطالعه اخیر انجام شده توسط موسسه تحقیقات امنیت سایبری (CSRI) در این هفته نشان داد که گواهینامههای بهسرقترفته امضا شده با کد دیجیتالی بهراحتی برای خرید هرکسی بر روی وب تاریک تا ۱۲۰۰ دلار در دسترس هستند درحالیکه دسترسی به اقلام غیرمجاز قیمتی به مراتب کمتر دارد!
گواهینامههای دیجیتالی صادر شده توسط یک صادرکننده گواهینامه مورد اعتماد (CA) برای برنامهها و نرمافزارهای رایانهای رمزنگاری شده مورد استفاده قرار گرفته و برای رایانه شما بهمنظور اجرای این برنامهها بدون هیچگونه پیام هشداردهندهای مورد اعتماد هستند.
با این حال، نویسنده بدافزار و نفوذگرها که همیشه در جستوجوی روشهای پیشرفته برای دور زدن راهکارهای امنیتی هستند در سالهای اخیر گواهینامههای دیجیتالی مورد اعتماد را مورد بهرهبرداری قرار دادهاند.
نفوذگرها بهمنظور امضای کد مخرب خود از گواهینامههای امضا شده با کد آسیبدیده مرتبط با فروشندگان معتبر نرمافزار استفاده میکنند. با این کار، احتمال شناسایی بدافزار آنها بر روی شبکههای تشکیلات اقتصادی مورد هدف و دستگاههای مصرفکننده کاهش مییابد.
بدافزار معروف استاکسنت نیز که در سال ۲۰۰۹ میلادی تاسیسات پردازش هستهای ایران را مورد هدف قرار داد از گواهینامههای دیجیتالی قانونی استفادهمیکرد. همچنین به لطف رویکردی مشابه با توجه به بهروزرسانی نرمافزار دیجیتالی امضا شده، آلودگیهای بارگیری شده با نرمافزار CCleaner امکانپذیر شد.
با این حال، تحقیقات جداگانه انجام شده توسط گروهی از پژوهشگران امنیتی نشان دادند که بدافزارهای امضا شده دیجیتالی، بسیار شایعتر از قبل شدهاند. محققان دانشگاه مریلند گفتند که درمجموع، ۳۲۵ نمونه از بدافزارهای امضا شده یافتهاند که ۱۸۹ مورد از آنها (۵۸٫۲ درصد) امضای دیجیتالی معتبر داشته و ۱۳۶ مورد، امضای دیجیتالی ناقص دارند.
پژوهشگران گزارش دادند: «این امضاهای ناقص برای توسعهدهندگان بدافزار بسیار مفید هستند. ما متوجه شدیم که رونویسی یک امضای Authenticode از یک نمونه قانونی به یک نمونه بدافزاری بدون امضا بسیار ساده است که ممکن است به بدافزار برای دور زدن شناسایی AV کمک کند.»
۱۸۹ نمونه از بدافزارهایی که بهصورت صحیح امضا شدهبودند با استفاده از ۱۱۱ گواهینامه منحصربهفرد آسیبدیدهی صادر شده توسط صادرکنندههای گواهینامه شناختهشده تولیدشده و برای امضای نرمافزارهای قانونی مورد استفاده قرار گرفتند.
درحال حاضر ۲۷ مورد از این گواهینامه آسیبدیده لغو شدهاند، هرچند بدافزار توسط یکی از ۸۴ گواهینامه باقیمانده که لغو نشدهاند، امضا شدهاست و تا زمانی که دارای یک نشانگر معتبر باشد، مورد اعتماد خواهدبود.
محققان گفتند: «بخش بزرگی (۸۸٫۸ درصد) از خانواده بدافزارها به یک گواهینامه منفرد وابسته هستند که نشان میدهد گواهینامههای مورد بهرهبرداری قرار گرفته بهجای اشخاص ثالث، عمدتاً توسط نویسندگان بدافزار کنترل میشوند.»
محققان فهرستی از گواهینامههای مورد بهرهبرداری قرار گرفته را بر روی وبسایت signedmalware.org منتشر کردهاند.
آنها دریافتند حتی زمانی که یک امضا معتبر نیست، حداقل ۳۴ محصول ضدبدافزار موفق به بررسی اعتبار گواهینامه نشدند، درنهایت اجازه میدهند تا کد مخرب بر روی سامانه هدف اجرا شود.
محققان آزمایشهایی را نیز برای تعیین اینکه آیا امضاهای ناقص میتوانند شناسایی ضدبدافزارها را تحتتاثیر قرار دهند، انجام دادند. برای اثبات این موضوع، آنها پنج نمونه از باجافزارهای امضا نشده تصادفی را بارگیری کردند که تقریباً تمام برنامههای ضدبدافزاری، نمونههای مخرب را شناسایی کردند.
آنها سپس دو گواهینامه منقضی شده را گرفتند که قبلاً برای امضای یک نرمافزار قانونی و یک بدافزار استفاده شدهبودندو از آنها برای امضای هریک از پنج نمونه باجافزار استفاده کردند.
محققان هنگام تجزیهوتحلیل ۱۰ نمونه جدید دریافتند که بسیاری از محصولات ضدبدافزاری موفق به شناسایی بدافزارها نشدند. سه محصول برتر ضدبدافزاری، nProtect، Tencent و Paloalto، نمونههای باجافزاری امضا نشده را بهعنوان بدافزار شناسایی کردند، اما هشت مورد از ۱۰ باجافزار را بهعنوان بدافزار بیخطر (خوشخیم) در نظر گرفتند. حتی موتورهای ضدبدافزاری محبوب از آزمایشگاه کسپرسکی، مایکروسافت، ترندمیکرو، سیمانتک و کومودو نیز موفق به شناسایی برخی از نمونههای مخرب شناختهشده نشدند.
دیگر بستههای ضدبدافزاری تحت تاثیر قرار گرفته، شامل CrowdStrike ،Fortinet ،Avira ،Malwarebytes ،SentinelOne ،Sophos، ترندمیکرو و Qihoo هستند.
محققان گفتند: «ما معتقدیم که عدم توانایی در شناسایی نمونههای بدافزاری، ناشی از این واقعیت است که در هنگام فیلتر کردن و اولویتبندی فهرست پروندهها برای پویش بهمنظور کاهش سربار محاسباتی اعمال شده بر روی میزبان کاربر، ضدبدافزارها حسابهای کاربری را بهصورت دیجیتال امضا میکنند. با این حال، پیادهسازی نادرست بررسیهای امضای Authenticode در بسیاری از ضدبدافزارها، نویسندگان بدافزار را قادر میسازد تا با یک روش ساده و ارزان از شناسایی فرار کنند.»
پژوهشگران گفتند که این موضوع را به شرکتهای ضدبدافزاری متاثر، گزارش دادهاند و یکی از آنها تایید کرد که محصولات آنها قادر به بررسی درست امضاها نبوده و برای حل این مشکل، برنامهریزی کردهاند.