Подписание кода — это метод использования цифровой подписи на основе сертификата для части программного обеспечения, чтобы операционная система и пользователи могли определить ее безопасность. Только правильное программное обеспечение может использовать соответствующую цифровую подпись.
Пользователи могут безопасно загружать и устанавливать программное обеспечение, а разработчики защищают репутацию своих продуктов с помощью подписи кода. Однако хакеры и распространители вредоносного ПО используют именно эту систему для проникновения вредоносного кода через антивирусные пакеты и другие программы безопасности . Так что же такое вредоносное ПО с кодовой подписью и как оно работает?
Что такое вредоносное ПО с кодовой подписью?
Когда программное обеспечение имеет цифровую подпись, это означает, что оно имеет официальную цифровую подпись. Центр сертификации выдает сертификат программному обеспечению, чтобы убедиться, что оно является законным и безопасным в использовании.
Пользователям не придется беспокоиться, поскольку операционная система проверит сертификат и цифровую подпись. Например, Windows использует цепочку сертификатов, содержащую все необходимые сертификаты для обеспечения легитимности программного обеспечения.
Цепочка сертификатов содержит все сертификаты, необходимые для сертификации объекта, идентифицируемого конечным сертификатом. Фактически он состоит из сертификата терминала, промежуточного сертификата ЦС и корневого сертификата ЦС, которому доверяют все стороны в цепочке. Каждый промежуточный сертификат ЦС в цепочке содержит сертификат, выданный ЦС на один уровень выше него. Корневой центр сертификации выдает сертификаты для себя.
После запуска системы вы можете доверять программному обеспечению, системе подписи кода и центру сертификации. Вредоносное ПО — это вредоносное программное обеспечение, оно не заслуживает доверия и не имеет доступа к центру сертификации или подписи кода.
Хакеры крадут сертификаты из центра сертификации
Антивирусное программное обеспечение знает, что вредоносное ПО является вредоносным, поскольку оно отрицательно влияет на вашу систему. Он выдает предупреждения, пользователи сообщают о проблемах, а антивирусное программное обеспечение может создавать сигнатуры вредоносных программ для защиты других компьютеров, используя тот же антивирусный механизм.
Однако если бы создатели вредоносного ПО могли подписывать вредоносное ПО официальными цифровыми подписями, описанный выше процесс не произошел бы. Вместо этого вредоносное ПО, подписанное кодом, может проникнуть в систему официальным путем, поскольку ваше антивирусное программное обеспечение и операционная система не обнаруживают ничего опасного.
Согласно исследованию Trend Micro, весь рынок вредоносного ПО ориентирован на поддержку разработки и распространения вредоносного ПО с кодовой подписью. Операторы вредоносных программ имеют доступ к действительным сертификатам, используемым для подписи вредоносного кода. В таблице ниже показано количество вредоносных программ, использующих подписывание кода для обхода антивирусного ПО с апреля 2018 года.
Исследование Trend Micro также показывает, что около 66% вредоносных программ имеют цифровые подписи. Кроме того, существуют определенные типы вредоносных программ, которые имеют несколько версий цифровых подписей, например трояны , программы-дропперы и программы-вымогатели .
Откуда берется цифровой сертификат подписи кода?
У распространителей и разработчиков вредоносного ПО есть два способа создания вредоносного ПО с кодовой подписью. Они крадут сертификаты из центра сертификации, приобретая законную организацию или выдавая себя за нее, и запрашивая сертификат у центра сертификации.
Как видите, Калифорния – не единственное место, на которое нацелены хакеры. Распространители, имеющие доступ к законным сертификатам, могут продавать доверенные сертификаты с цифровой подписью разработчикам и распространителям вредоносного ПО.
Исследовательская группа по безопасности из Университета Масарика в Чехии и Центра кибербезопасности Мэриленда обнаружила четыре организации, продающие сертификаты Microsoft Authenticode анонимным покупателям. Получив сертификат Microsoft Authenticode, разработчик вредоносного ПО может подписать любое возможное вредоносное ПО посредством подписи кода и защиты на основе сертификатов.
В некоторых других случаях вместо кражи сертификатов хакеры проникают на сервер сборки программного обеспечения. Когда будет выпущена новая версия программного обеспечения, она будет иметь законный сертификат, и хакеры воспользуются этим процессом для добавления вредоносного кода.
Пример вредоносного ПО с кодовой подписью
Итак, как выглядит вредоносное ПО, подписанное кодом? Ниже приведены три примера вредоносного ПО этого типа.
Как избежать вредоносного ПО, подписанного кодом?
Вредоносные программы этого типа используют подпись кода, чтобы избежать обнаружения антивирусным программным обеспечением и системами, поэтому защититься от вредоносных программ, подписанных кодом, чрезвычайно сложно. Крайне важно всегда обновлять антивирусное программное обеспечение и системы. Не нажимайте на неизвестные ссылки и внимательно проверяйте , откуда взялась ссылка, прежде чем перейти по ней. См. статью Риски, связанные с вредоносным ПО, и как их избежать .
One UI заменяет Samsung Experience в качестве пользовательского интерфейса Samsung для Android. Он упрощен, лаконичен и предназначен для отображения только важной информации, уменьшая количество отвлекающих факторов.
Децибел (дБ) — это стандартная единица измерения, используемая для измерения мощности сигналов проводных и беспроводных сетей.
Виртуальные частные сети доступны по цене, просты в использовании и являются важным компонентом настроек компьютеров и смартфонов. Наряду с брандмауэром и антивирусным/вредоносным ПО вам следует установить VPN, чтобы каждый момент, проведенный вами в Интернете, был полностью конфиденциальным.
Telnet — это протокол командной строки, используемый для удаленного управления различными устройствами, такими как серверы, ПК, маршрутизаторы, коммутаторы, камеры и брандмауэры.
Когда кто-то обсуждает сохранение конфиденциальных данных, вы, вероятно, услышите термин «повреждение данных». Так что же такое «повреждение данных» и как исправить файлы, если что-то пойдет не так?
Catalyst Control Center — это утилита, поставляемая вместе с драйвером, помогающая работать видеокартам AMD. В диспетчере задач пользователя он отображается как CCC.exe, и в большинстве случаев вам никогда не придется об этом беспокоиться.
Подписание кода — это метод использования цифровой подписи на основе сертификата для части программного обеспечения, чтобы операционная система и пользователи могли определить ее безопасность. Что такое вредоносное ПО с кодовой подписью и как оно работает?
Поскольку окружающие нас технологии развиваются, межсетевые экраны также необходимо переносить в облако, чтобы идти в ногу с этой тенденцией. Вот почему родился термин «облачный межсетевой экран».
В 2017 году исследователи безопасности ежедневно обнаруживали около 23 000 образцов вредоносного ПО, что соответствует примерно 795 вредоносным программам, создаваемым каждый час. Недавно появилась новая, очень сложная вредоносная программа под названием Mylobot.
NTFS, FAT32, exFAT — файловые системы в Windows, но конкретно что такое NTFS, что такое FAT32, что такое exFAT, в чем их сходства и различия? Приглашаем читателей ознакомиться с этой статьей.
