افزایش بدافزارهای مخفی با امضای دیجیتال در وب تاریک‎

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

q282

 


طبق بررسی پژوهشگران، بدافزارهای فوق‌العاده مخفی با امضای دیجیتالی در سایه‌ وب تاریک رو به افزایش هستند.

به گزارش كارشناسان دژپاد ، مطالعه‌ اخیر انجام شده توسط موسسه‌ تحقیقات امنیت سایبری (CSRI) در این هفته نشان داد که گواهی‌نامه‌های به‌سرقت‌رفته‌ امضا شده با کد دیجیتالی به‌راحتی برای خرید هرکسی بر روی وب تاریک تا ۱۲۰۰ دلار در دسترس هستند درحالی‌که دسترسی به اقلام غیرمجاز قیمتی به مراتب کمتر دارد!

گواهی‌نامه‌های دیجیتالی صادر شده توسط یک صادرکننده‌ گواهی‌نامه‌ مورد اعتماد (CA) برای برنامه‌ها و نرم‌افزارهای رایانه‌ای رمزنگاری شده مورد استفاده قرار گرفته و برای رایانه‌ شما به‌منظور اجرای این برنامه‌ها بدون هیچ‌گونه پیام هشداردهنده‌ای مورد اعتماد هستند.

با این حال، نویسنده‌ بدافزار و نفوذگرها که همیشه در جست‌وجوی روش‌های پیشرفته برای دور زدن راهکارهای امنیتی هستند در سال‌های اخیر گواهی‌نامه‌های دیجیتالی مورد اعتماد را مورد بهره‌برداری قرار داده‌اند.

نفوذگرها به‌منظور امضای کد مخرب خود از گواهی‌نامه‌های امضا شده با کد آسیب‌دیده‌ مرتبط با فروشندگان معتبر نرم‌افزار استفاده می‌کنند. با این کار، احتمال شناسایی بدافزار آنها بر روی شبکه‌های تشکیلات اقتصادی مورد هدف و دستگاه‌های مصرف‌کننده کاهش می‌یابد.

بدافزار معروف استاکس‌نت نیز که در سال ۲۰۰۹ میلادی تاسیسات پردازش هسته‌ای ایران را مورد هدف قرار داد از گواهی‌نامه‌های دیجیتالی قانونی استفاده‌می‌کرد. همچنین به لطف رویکردی مشابه با توجه به به‌روزرسانی نرم‌افزار دیجیتالی امضا شده، آلودگی‌های بارگیری شده با نرم‌افزار CCleaner امکان‌پذیر شد.

با این حال، تحقیقات جداگانه‌ انجام شده توسط گروهی از پژوهشگران امنیتی نشان دادند که بدافزارهای امضا شده‌ دیجیتالی، بسیار شایع‌تر از قبل شده‌اند. محققان دانشگاه مریلند گفتند که درمجموع، ۳۲۵ نمونه از بدافزارهای امضا شده یافته‌اند که ۱۸۹ مورد از آنها (۵۸٫۲ درصد) امضای دیجیتالی معتبر داشته و ۱۳۶ مورد، امضای دیجیتالی ناقص دارند.

پژوهشگران گزارش دادند: «این امضاهای ناقص برای توسعه‌دهندگان بدافزار بسیار مفید هستند. ما متوجه شدیم که رونویسی یک امضای Authenticode از یک نمونه‌ قانونی به یک نمونه‌ بدافزاری بدون امضا بسیار ساده است که ممکن است به بدافزار برای دور زدن شناسایی AV کمک کند.»

۱۸۹ نمونه از بدافزارهایی که به‌صورت صحیح امضا شده‌بودند با استفاده از ۱۱۱ گواهی‌نامه‌ منحصربه‌فرد آسیب‌دیده‌ی صادر شده توسط صادرکننده‌های گواهی‌نامه‌ شناخته‌شده تولیدشده و برای امضای نرم‌افزارهای قانونی مورد استفاده قرار گرفتند.

درحال حاضر ۲۷ مورد از این گواهی‌نامه‌ آسیب‌دیده لغو شده‌اند، هرچند بدافزار توسط یکی از ۸۴ گواهی‌نامه‌ باقی‌مانده که لغو نشده‌اند، امضا شده‌است و تا زمانی که دارای یک نشانگر معتبر باشد، مورد اعتماد خواهدبود.

محققان گفتند: «بخش بزرگی (۸۸٫۸ درصد) از خانواده بدافزارها به یک گواهی‌نامه‌ منفرد وابسته هستند که نشان می‌دهد گواهی‌نامه‌های مورد بهره‌برداری قرار گرفته به‌جای اشخاص ثالث، عمدتاً توسط نویسندگان بدافزار کنترل می‌شوند.»

محققان فهرستی از گواهی‌نامه‌های مورد بهره‌برداری قرار گرفته را بر روی وب‌سایت signedmalware.org منتشر کرده‌اند.

آنها دریافتند حتی زمانی که یک امضا معتبر نیست، حداقل ۳۴ محصول ضدبدافزار موفق به بررسی اعتبار گواهی‌نامه نشدند، درنهایت اجازه می‌دهند تا کد مخرب بر روی سامانه‌ هدف اجرا شود.

محققان آزمایش‌هایی را نیز برای تعیین اینکه آیا امضاهای ناقص می‌توانند شناسایی ضدبدافزارها را تحت‌تاثیر قرار دهند، انجام دادند. برای اثبات این موضوع، آنها پنج نمونه از باج‌افزارهای امضا نشده‌ تصادفی را بارگیری کردند که تقریباً تمام برنامه‌های ضدبدافزاری، نمونه‌های مخرب را شناسایی کردند.

آنها سپس دو گواهی‌نامه‌ منقضی شده را گرفتند که قبلاً برای امضای یک نرم‌افزار قانونی و یک بدافزار استفاده شده‌بودندو از آنها برای امضای هریک از پنج نمونه‌ باج‌افزار استفاده کردند.

محققان هنگام تجزیه‌وتحلیل ۱۰ نمونه‌ جدید دریافتند که بسیاری از محصولات ضدبدافزاری موفق به شناسایی بدافزارها نشدند. سه محصول برتر ضدبدافزاری، nProtect، Tencent و Paloalto، نمونه‌های باج‌افزاری امضا نشده را به‌عنوان بدافزار شناسایی کردند، اما هشت مورد از ۱۰ باج‌افزار را به‌عنوان بدافزار بی‌خطر (خوش‌خیم) در نظر گرفتند. حتی موتورهای ضدبدافزاری محبوب از آزمایشگاه کسپرسکی، مایکروسافت، ترندمیکرو، سیمانتک و کومودو نیز موفق به شناسایی برخی از نمونه‌های مخرب شناخته‌شده نشدند.

دیگر بسته‌های ضدبدافزاری تحت تاثیر قرار گرفته، شامل CrowdStrike ،Fortinet ،Avira ،Malwarebytes ،SentinelOne ،Sophos، ترندمیکرو و Qihoo هستند.

محققان گفتند: «ما معتقدیم که عدم توانایی در شناسایی نمونه‌های بدافزاری، ناشی از این واقعیت است که در هنگام فیلتر کردن و اولویت‌بندی فهرست پرونده‌ها برای پویش به‌منظور کاهش سربار محاسباتی اعمال شده بر روی میزبان کاربر، ضدبدافزارها حساب‌های کاربری را به‌صورت دیجیتال امضا می‌کنند. با این حال، پیاده‌سازی نادرست بررسی‌های امضای Authenticode در بسیاری از ضدبدافزارها، نویسندگان بدافزار را قادر می‌سازد تا با یک روش ساده و ارزان از شناسایی فرار کنند.»

پژوهشگران گفتند که این موضوع را به شرکت‌های ضدبدافزاری متاثر، گزارش داده‌اند و یکی از آنها تایید کرد که محصولات آنها قادر به بررسی درست امضاها نبوده و برای حل این مشکل، برنامه‌ریزی کرده‌اند.