Специалисти се натъкнаха на зловредни програми с валидни Windows сертификати
Киберпрестъпниците все по-често купуват крадени документи вместо да се пробват да ги фалшифицират, а пазара за този краден код процъфтява.
Изследователи от университета Масарик, Чехия и експерти от Центъра за киберсигурност на Мериленд (Maryland Cybersecurity Center, MCC) са разкрили и провели наблюдаване над няколко организации, които са се занимавали с продажбата на Microsoft Authenticode документи на анонимни купувачи. Освен това, те са и събрали съществено количество зловредни стратегии, подписани с годен документ на Microsoft.
„Скорошните наблюдения над екосистемата на подписания сертификационен код за Windows обрисуват разнообразни форми на корист, която разрешава на създателите на зловредни стратегии да възпроизвеждат злотворен код, носещ годни цифрови сигнатури“, обобщават създателите на показания неотдавна отчет от тяхна страна. Освен това, откривателите са разкрили и няколко евентуално нежелани стратегии, носещи годен документ, както и това, че нарушителите са намерили метод да управляват набор от Authenticode документи. Authenticode технологията на Microsoft оказва помощ на браузърите на компанията да създадат инспекция на валидността на даден файл и код, който бива свалян през тях и степента на доверие, които може да има потребителя към тях.
„Ако атакуващата страна може да употребява приближен дигитален документ, с цел да конфигурира злотворен код, то тогава тази зловредна стратегия ще употребява дадените на потребителя права за достъп или правата за достъп, оставени във формата на NTLM хешови стойности, с цел да си пробие път нататък в мрежата“, изяснява Гейбриъл Гъмбс от STEALTHbits Technologies пред Infosecurity Magazine. Той добавя също тъй че нещата няма да наподобяват толкоз рискови, в случай че преди този момент са наложени правила за прехвърляне на стеснен достъп. Според сътрудника му Джонатан Сандър, нарушителите в Интернет през днешния ден наподобяват фокусиране над техническата страна на измамата, само че в реалност те се движат от работещи бизнес модели и просто търсят възвръщане на инвестицията, като знаят, че с цел да получиш би трябвало да дадеш. Те ясно осъзнават, че парите, които дават за откраднатия документ ще се възвърнат неколкократно, а зловредната им стратегия, прикрита с помощта на документа като законна, ще успее да подлъже множеството принадлежности за отбрана, които се употребяват през днешния ден.
Откритията на експертите бяха показани на форума Workshop on the Economics of Information Security (WEIS), провел се по-рано този месец.
Пълният текст на отчета и разкритията в него, може да откриете тук (pdf).
Изследователи от университета Масарик, Чехия и експерти от Центъра за киберсигурност на Мериленд (Maryland Cybersecurity Center, MCC) са разкрили и провели наблюдаване над няколко организации, които са се занимавали с продажбата на Microsoft Authenticode документи на анонимни купувачи. Освен това, те са и събрали съществено количество зловредни стратегии, подписани с годен документ на Microsoft.
„Скорошните наблюдения над екосистемата на подписания сертификационен код за Windows обрисуват разнообразни форми на корист, която разрешава на създателите на зловредни стратегии да възпроизвеждат злотворен код, носещ годни цифрови сигнатури“, обобщават създателите на показания неотдавна отчет от тяхна страна. Освен това, откривателите са разкрили и няколко евентуално нежелани стратегии, носещи годен документ, както и това, че нарушителите са намерили метод да управляват набор от Authenticode документи. Authenticode технологията на Microsoft оказва помощ на браузърите на компанията да създадат инспекция на валидността на даден файл и код, който бива свалян през тях и степента на доверие, които може да има потребителя към тях.
„Ако атакуващата страна може да употребява приближен дигитален документ, с цел да конфигурира злотворен код, то тогава тази зловредна стратегия ще употребява дадените на потребителя права за достъп или правата за достъп, оставени във формата на NTLM хешови стойности, с цел да си пробие път нататък в мрежата“, изяснява Гейбриъл Гъмбс от STEALTHbits Technologies пред Infosecurity Magazine. Той добавя също тъй че нещата няма да наподобяват толкоз рискови, в случай че преди този момент са наложени правила за прехвърляне на стеснен достъп. Според сътрудника му Джонатан Сандър, нарушителите в Интернет през днешния ден наподобяват фокусиране над техническата страна на измамата, само че в реалност те се движат от работещи бизнес модели и просто търсят възвръщане на инвестицията, като знаят, че с цел да получиш би трябвало да дадеш. Те ясно осъзнават, че парите, които дават за откраднатия документ ще се възвърнат неколкократно, а зловредната им стратегия, прикрита с помощта на документа като законна, ще успее да подлъже множеството принадлежности за отбрана, които се употребяват през днешния ден.
Откритията на експертите бяха показани на форума Workshop on the Economics of Information Security (WEIS), провел се по-рано този месец.
Пълният текст на отчета и разкритията в него, може да откриете тук (pdf).
Източник: kaldata.com
КОМЕНТАРИ