Хакери използват сертификати за подписване на кодове, за да избегнат защитите
Изследователите по сигурността откриха, че хакерите все по-често употребяват документи за сключване на кодове, с цел да пробият по-лесно системите за сигурност на набелязаните жертви.
Ново изследване на Insikt Group, група за проучвания в областта на сигурността към софтуерната компания Recorded Future, открива, че хакери и други злонамерени артисти получават законни документи от виновните органи , с които подписват злотворен код.
Прочетете още: Новият Android ще стопира достъпа на зловредни приложения до камерата на устройствата?
Това опровергава необятно публикуваната теза, че в множеството случаи документите биват откраднати от компании и разработчици , след което преработени от хакерите за легитимация на злоумишлен програмен продукт.
Сертификатите за сключване на кода са предопределени да обезпечат на софтуера или мобилното приложение нужното равнище на сигурност, като потвърждават достоверност. Всеки път, когато отворите обещано приложение, подписано с код, то ви оповестява кой е разработчикът и удостоверява, че не е било преработено по никакъв метод. Повечето модерни операционни системи извършват по дифолт единствено кодово подписани приложения. Именно поради това зловредните приложения, подписани с код, са доста по-трудни за разкриване от системите за мрежова отбрана. Според откривателите хардуерът, който употребява надълбоко ревизиране на пакети (DPI) за сканиране на мрежовия трафик, " става по-малко ефикасен, когато законният трафик на документи се инициира от злоумишлен имплант ".
Екипът на Insikt Group твърди, че хакерите употребяват документи на реномирани източници като Comodo, Symantec и Thawte, а, не на последно място, и на Apple.
" В света на Apple не можете да изпълнявате стратегия, която не е подписана с код. Въпреки това обаче, има доста способи да си набавите подобен ", разяснява Амит Серпер, основен откривател по сигурността в Cybereason и експерт по злоумишлен програмен продукт за Mac, и прибавя: " За да получите подобен, би трябвало просто да си създадете профил на разработчик, да платите на Apple 99 $ и да им дадете съображение да ви издадат документ. Тъй като задачата на компанията е да печели пари и да има повече разработчици, които да се включат в другите стратегии, приемането на документ е необикновено елементарно ".
" Много злотворен програмен продукт и адуер (рекламен софтуер) за Mac e маркиран със законни документи за сключване на кодове, предоставени от Apple ", прибавя Серпер.
Специалистът наскоро предизвести за Pirrit, адуер , който инжектира реклами напряко в браузъра, като по думите му актуализацията на въпросния програмен продукт е подписана с код, което улеснява изтеглянето на в допълнение злонамерено наличие.
От Apple и Comodo отхвърлят коментар за момента, само че откривателите считат, че сертифициращите органи не знаят, че данните им са употребявани по този метод. Андрей Барисевич, шеф в Recorded Future, е безапелационен пред ZDNet, че хакерите " получават документите непосредствено от лицензионните органи, като употребяват откраднати корпоративни входни данни, които им разрешават да получат достъп до мрежата”.
" Ние сме уверени, че не се употребява помощ от вътрешни лица във въпросните компании ", прибавя той.
Ново изследване на Insikt Group, група за проучвания в областта на сигурността към софтуерната компания Recorded Future, открива, че хакери и други злонамерени артисти получават законни документи от виновните органи , с които подписват злотворен код.
Прочетете още: Новият Android ще стопира достъпа на зловредни приложения до камерата на устройствата?
Това опровергава необятно публикуваната теза, че в множеството случаи документите биват откраднати от компании и разработчици , след което преработени от хакерите за легитимация на злоумишлен програмен продукт.
Сертификатите за сключване на кода са предопределени да обезпечат на софтуера или мобилното приложение нужното равнище на сигурност, като потвърждават достоверност. Всеки път, когато отворите обещано приложение, подписано с код, то ви оповестява кой е разработчикът и удостоверява, че не е било преработено по никакъв метод. Повечето модерни операционни системи извършват по дифолт единствено кодово подписани приложения. Именно поради това зловредните приложения, подписани с код, са доста по-трудни за разкриване от системите за мрежова отбрана. Според откривателите хардуерът, който употребява надълбоко ревизиране на пакети (DPI) за сканиране на мрежовия трафик, " става по-малко ефикасен, когато законният трафик на документи се инициира от злоумишлен имплант ".
Екипът на Insikt Group твърди, че хакерите употребяват документи на реномирани източници като Comodo, Symantec и Thawte, а, не на последно място, и на Apple.
" В света на Apple не можете да изпълнявате стратегия, която не е подписана с код. Въпреки това обаче, има доста способи да си набавите подобен ", разяснява Амит Серпер, основен откривател по сигурността в Cybereason и експерт по злоумишлен програмен продукт за Mac, и прибавя: " За да получите подобен, би трябвало просто да си създадете профил на разработчик, да платите на Apple 99 $ и да им дадете съображение да ви издадат документ. Тъй като задачата на компанията е да печели пари и да има повече разработчици, които да се включат в другите стратегии, приемането на документ е необикновено елементарно ".
" Много злотворен програмен продукт и адуер (рекламен софтуер) за Mac e маркиран със законни документи за сключване на кодове, предоставени от Apple ", прибавя Серпер.
Специалистът наскоро предизвести за Pirrit, адуер , който инжектира реклами напряко в браузъра, като по думите му актуализацията на въпросния програмен продукт е подписана с код, което улеснява изтеглянето на в допълнение злонамерено наличие.
От Apple и Comodo отхвърлят коментар за момента, само че откривателите считат, че сертифициращите органи не знаят, че данните им са употребявани по този метод. Андрей Барисевич, шеф в Recorded Future, е безапелационен пред ZDNet, че хакерите " получават документите непосредствено от лицензионните органи, като употребяват откраднати корпоративни входни данни, които им разрешават да получат достъп до мрежата”.
" Ние сме уверени, че не се употребява помощ от вътрешни лица във въпросните компании ", прибавя той.
Източник: pcworld.bg
КОМЕНТАРИ