آخرین اخبار
صفحه اصلی
اخبار

افزایش بدافزارهای فوق‌العاده مخفی با امضای دیجیتالی در سایه‌ی وبِ تاریک

تاریخ:
در: اخبار, اسلاید, امنیت سایبری
دیدگاهتان را بنویسید:
1096 نمایش ها

کمیته رکن چهارم – حدس بزنید کدام‌یک گران‌تر از گذرنامه‌های جعلی آمریکایی است، کارت‌های اعتباری به سرقت رفته و حتی اسلحه‌ها در وبِ تاریک  یا گواهی‌نامه‌های امضاء شده با کد دیجیتالی؟

مطالعه‌ی اخیر انجام شده توسط موسسه‌ی تحقیقات امنیت سایبری (CSRI) در این هفته نشان داد که گواهی‌نامه‌های به سرقت رفته‌ی امضاء شده با کد دیجیتالی به‌راحتی برای خرید هرکسی بر روی وبِ تاریک تا ۱۲۰۰ دلار در دسترس هستند، در حالی که دسترسی به اقلام غیرمجاز قیمتی به مراتب کم‌تر دارد! 

همانطور که می‌دانید، گواهی‌نامه‌های دیجیتالی صادر شده توسط یک صادرکننده‌ی گواهی‌نامه‌ی مورد اعتماد (CA)، برای برنامه‌ها و نرم‌افزارهای رایانه‌ای رمزنگاری شده مورد استفاده قرار گرفته و برای رایانه‌ی شما به‌منظور اجرای این برنامه‌ها، بدون هیچ‌گونه پیام هشداردهنده‌ای، مورد اعتماد هستند.

با این حال، نویسنده‌ی بدافزار و نفوذگرها که همیشه درجستجوی روش‌های پیشرفته برای دور زدن راهکارهای امنیتی هستند، در سال‌های اخیر گواهی‌نامه‌های دیجیتالی مورد اعتماد را مورد بهره‌برداری قرار داده‌اند.

نفوذگرها به‌منظور امضای کد مخرب خود، از گواهی‌نامه‌های امضاء شده با کد آسیب‌دیده‌ی مرتبط با فروشندگان معتبر نرم‌افزار استفاده می‌کنند. با این کار، احتمال شناسایی بدافزار آن‌ها بر روی شبکه‌های تشکیلات اقتصادی مورد هدف و دستگاه‌های مصرف‌کننده کاهش می‌یابد.

بدافزار معروفِ Stuxnet نیز که در سال ۲۰۰۹ میلادی تاسیسات پردازش هسته‌ای ایران را مورد هدف قرار داد، از گواهی‌نامه‌های دیجیتالی قانونی استفاده می‌کرد. همچنین، به لطف رویکردی مشابه، با توجه به به‌روزرسانی نرم‌افزار دیجیتالی امضاء شده، آلودگی‌های بارگیری شده با نرم‌افزار CCleaner امکان‌پذیر شد.

گسترشِ بدافزارهای امضاء شده‌ی دیجیتالی مخفی در سال‌های اخیر

با این حال، تحقیقات جداگانه‌ی انجام شده توسط گروهی از پژوهش‌گران امنیتی نشان دادند که بدافزارهای امضاء شده‌ی دیجیتالی، بسیار شایع‌تر از قبل شده‌اند.

محققان دانشگاه مری‌لند گفتند که درمجموع، ۳۲۵ نمونه از بدافزارهای امضاء شده یافته‌اند که ۱۸۹ مورد از آن‌ها (۵۸٫۲ درصد) امضای دیجیتالی معتبر داشته و ۱۳۶ مورد، امضای دیجیتالی ناقص دارند.

پژوهش‌گران گزارش دادند: «این امضاهای ناقص برای توسعه‌دهندگان بدافزار بسیار مفید هستند. ما متوجه شدیم که رونویسی یک امضای Authenticode از یک نمونه‌ی قانونی به یک نمونه‌ی بدافزاری بدون امضاء بسیار ساده است که ممکن است به بدافزار برای دور زدن شناسایی AV کمک کند.»

۱۸۹ نمونه از بدافزارهایی که به‌صورت صحیح امضاء شده بودند، با استفاده از ۱۱۱ گواهی‌نامه‌ی منحصربه‌فرد آسیب‌دیده‌ی صادر شده توسط صادرکننده‌های گواهی‌نامه‌ی شناخته شده تولید شده و برای امضای نرم‌افزارهای قانونی مورد استفاده قرار گرفتند.

درحال حاضر، ۲۷ مورد از این گواهی‌نامه‌ی آسیب‌دیده لغو شده‌اند، هرچند بدافزار توسط یکی از ۸۴ گواهی‌نامه‌ی باقی‌مانده که لغو نشده‌اند، امضاء شده و تا زمانی که دارای یک نشانگر معتبر باشد، مورد اعتماد خواهد بود.

محققان گفتند: «بخش بزرگی (۸۸٫۸ درصد) از خانواده بدافزارها به یک گواهی‌نامه‌ی منفرد وابسته هستند، که نشان می‌دهد گواهی‌نامه‌های مورد بهره‌برداری قرار گرفته، به‌جای اشخاص ثالث، عمدتاً توسط نویسندگان بدافزار کنترل می‌شوند.»

محققان فهرستی از گواهی‌نامه‌های مورد بهره‌برداری قرار گرفته را بر روی وب‌گاه signedmalware.org منتشر کرده‌اند.

لغو گواهی‌نامه‌ی به سرقت رفته، بدافزار را بلافاصله متوقف نمی‌کند

محققان دریافتند حتی زمانی که یک امضاء معتبر نیست، حداقل ۳۴ محصول ضدبدافزار موفق به بررسی اعتبار گواهی‌نامه نشدند، در نهایت، اجازه می‌دهند تا کد مخرب بر روی سامانه‌ی هدف اجرا شود.

محققان آزمایش‌هایی را نیز برای تعیین اینکه آیا امضاهای ناقص می‌توانند شناسایی ضدبدافزارها را تحت تاثیر قرار دهند، انجام دادند. برای اثبات این موضوع، آن‌ها ۵ نمونه از باج‌افزارهای امضاء نشده‌ی تصادفی را بارگیری کردند که تقریباً تمام برنامه‌های ضدبدافزاری، نمونه‌های مخرب را شناسایی کردند.

محققان سپس ۲ گواهی‌نامه‌ی منقضی شده که قبلاً برای امضای یک نرم‌افزار قانونی و یک بدافزار استفاده شده بودند را گرفته و از آن‌ها برای امضای هریک از ۵ نمونه‌ی باج‌افزار استفاده کردند.

ضدبدافزار برتر، قادر به شناسایی بدافزار امضاء شده با گواهی‌نامه‌های به سرقت رفته نشد

محققان هنگام تجزیه و تحلیل ۱۰ نمونه‌ی جدید دریافتند که بسیاری از محصولات ضدبدافزاری موفق به شناسایی بدافزارها نشدند.

۳ محصول برتر ضدبدافزاری، nProtect، Tencent و Paloalto، نمونه‌های باج‌افزاری امضاء نشده را به‌عنوان بدافزار شناسایی کردند، اما ۸ مورد از ۱۰ باج‌افزار را به‌عنوان بدافزار بی‌خطر (خوش‌خیم) در نظر گرفتند.

حتی موتورهای ضدبدافزاری محبوب از آزمایشگاه کسپرسکی، مایکروسافت، ترندمیکرو، سمانتیک و کومودو نیز موفق به شناسایی برخی از نمونه‌های مخرب شناخته شده نشدند.

دیگر بسته‌های ضدبدافزاری تحت تاثیر قرار گرفته، شامل CrowdStrike ،Fortinet ،Avira ،Malwarebytes ،SentinelOne ،Sophos، ترندمیکرو و Qihoo می‌باشند.

محققان گفتند: «ما معتقدیم که عدم توانایی در شناسایی نمونه‌های بدافزاری، ناشی از این واقعیت است که در هنگام فیلتر کردن و اولویت‌بندی فهرست پرونده‌ها برای پویش به‌منظور کاهش سربار محاسباتی اعمال شده بر روی میزبان کاربر، ضدبدافزارها حساب‌های کاربری را به‌صورت دیجیتال امضاء می‌کنند. با این حال، پیاده‌سازی نادرست بررسی‌های امضای Authenticode در بسیاری از ضدبدافزارها، نویسندگان بدافزار را قادر می‌سازد تا با یک روش ساده و ارزان، از شناسایی فرار کنند.»

پژوهش‌گران اضافه کردند که این موضوع را به شرکت‌های ضدبدافزاری تحت تاثیر قرار گرفته، گزارش داده‌اند و یکی از آن‌ها تایید کرد که محصولات آن‌ها قادر به بررسی درست امضاها نبوده و برای حل این مشکل، برنامه‌ریزی کرده‌اند.

محققان یافته‌های خود را روز چهارشنبه در دالاس و در کنفرانس امنیت رایانه و ارتباطات (CCS) ارائه دادند.

منبع : news.asis.io

برچسب ها:

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد.


Type The Red Captcha Characters Below.