Kártevő hiteles tanúsítvánnyal

Posted on 28 August, 2019 by Mentor IT Lovag

Egy alkalmazás hitelességét tanúsítványokkal igazoljuk, ez egy elterjedt és elfogadott módszer. Ha a tanúsítványt kibocsátó vállalatokban megrendül a bizalom – mert a hackerek elloptak egy érvényes tanúsítványt vagy veszélyeztetik tevékenységét – az egész modell összeomlik. Ez egy esetben már megtörtént, cikkünkben a Ryuk tanulságait ismertetjük.

A Windows környezetben futó alkalmazásokról azért tudjuk, hogy azok nem káros programok, hanem legitim szoftverek, mert a kódot aláírják annak alkotói. Ez az aláírás garantálja, hogy a forrásfájl valóban eredeti, azt senki sem módosította. A tanúsítványok kiadása során a tanúsító hatóságok elvileg körültekintően ellenőrzik, hogy a szoftvert készítő vállalat valóban az, aminek mondja magát.

Ha egy ilyen tanúsítvánnyal látunk el alkalmazásokat, akkor azok nem ritkán szabadon futhatnak a számítógépen, mert a kezdetlegesebb antivírus programok nem vizsgálják annak viselkedését. Csak a tanúsítványt ellenőrzik, és ha az megfelelő, akkor az alkalmazást megbízhatónak vélik. Elméletben ez egy erőforrástakarékos megoldás, hiszen a futtatható fájl viselkedésének ellenőrzésére nem kell időt, processzort pazarolni.

Emiatt azonban ezek a tanúsítványok a bűnözők számára értékes eszközökké válnak: ha egy káros szándékú embernek sikerül valahogy megszereznie, ellopnia egy tanúsítványt, akkor a saját kártevő kódját aláírhatja, és így nagyon sok korlát megszűnik a „vírus” előtt.

A G DATA szakértői most arra figyelmeztetnek, hogy érvényes tanúsítvány jelenléte nem jelenti automatikusan, hogy az aláírt alkalmazás ártalmatlan. A „potentially unwanted” vagyis a vélhetően kéretlen programok nagy része, valamint a kártevők egy kisebb hányada látszólag hiteles és megfelelő módon aláírt alkalmazás. Ezekhez az aláírásokhoz a bűnözők csalás, lopás útján jutnak hozzá. Ilyen esetben sokszor a felhasználó feladata eldönteni, megbízik-e az adott szoftver gyártójában vagy sem. A Chronicle kutatói összeállították azoknak a tanúsítványkezelők listáját is, amelyeknek a tanúsítványával a legtöbbször éltek vissza a bűnözők.

Az első ezen a listán a COMODO nevű cég, mely a Ryuk nevű zsarolóvírus tanúsítványát írta alá.

A Ryuk zsarolóvírus főleg amerikai állami intézményekben, szervezetekben terjed, de ipari kémkedésre is előszeretettel használják. A tanúsítványt kiadó cég vissza is vonhatja a kiadott tanúsítványt, ha észreveszi, hogy visszaéltek azzal. A COMODO az általa kiadott tanúsítványok 21 százalékát hívta vissza – arról nincs hír, hogy a Ryuk tanúsítványa közöttük lenne.

És hogy mit tehetünk a tanúsítvánnyal aláírt, ámde kártevő szándékú programok ellen? Használjunk megbízható antivírus megoldást, amely egy kártevőt annak viselkedése alapján is képes felismerni. (Segítség: ez nem az operációs rendszerrel együtt érkező ingyenes megoldás lesz.)

Egy modern antivírus megoldás hagymahéj-szerűen épül fel, és több különböző proaktív technológia segítségével működik.