Malware: certified trustworthy
22 June 2010, 16:34
Theo: http://www.h-online.com/security/news/item/Malware-certified-trustworthy-1027066.html
Bài được đưa lên Internet ngày: 22/06/2010
Lời người dịch: Theo nhà cung cấp phần mềm chống virus F-Secure, “số lượng các ví dụ phần mềm độc hại được ký số cho Windows đang gia tăng – và ngày càng nhiều chương trình phần mềm đe dọa cũng đưa vào một chữ ký số hợp lệ. Các tác giả của virus sử dụng phương pháp này để vượt qua được một loạt những rào cản trong các hệ thống Windows và chặn các cảnh báo như những thứ được bất khi một chương trình định cài đặt một kiểm soát ActiveX trong Internet Explorer, hoặc trước khi cài đặt một trình điều khiển. Danh sách của F-Secure về các chương trình tiềm tàng không mong muốn chứa gần 400,000 ví dụ được ký số. Về các phần mềm độc hại, danh sách này vẫn còn bao gồm hầu như 24,000 ví dụ” và kiểu giả mạo chữ ký để đưa phần mềm độc hại vào sẽ trở nên nguy hiểm hơn với Windows 7, “vì phiên bản này dựa nặng hơn vào Authenticode hơn là so với các phiên bản trước của Windows. Trong trường hợp này, các nhà cung cấp chống virus sẽ cần làm việc trong sự hợp tác gần gũi với Cơ quan Xác thực CA để đảm bảo rằng các chứng chỉ bị tổn thương và bị sử dụng sai (và cả các khóa) có thể bị cô lập nhanh nhất có thể”. Người sử dụng Windows 7 nên thận trọng đối với những thứ này.
Authenticode được sử dựng cho việc ký và kiểm tra các phần mềm theo Windows và có nghĩa là để kiểm tra gốc của phần mềm. Người sử dụng có xu huonwgs tin tưởng vào các phần mềm được ký số. Các phần mềm mà không có chữ ký số sẽ tắt bật một hội thoại mà sẽ chắc chắn hỏi người sử dụng khẳng định trước khi xử lý tiếp với sự cài đặt. Trong các phiên bản 64 bit của Windows 7 và Vista, việc cài đặt một trình điều khiển không được ký là không thể hoàn toàn, ngay cả nếu một người sử dụng muốn cho nó qua.
F-Secure nói rằng các tác giả virus sử dụng thành công một loạt các mẹo để giành được các chữ ký số hoặc chứng chỉ hợp lệ cho các chương trình của họ. Phương pháp tin cậy được nhất là làm trò để một Cơ quan Chứng thực CA đưa ra một mã ký chứng chỉ. Dường như là điều này đã trở nên dễ như việc giành được một chứng chỉ SSL hợp lệ cho máy chủ – một địa chỉ thư điện tử hợp lệ là đủ. Những giả mạo và bọn tội phạm trên Internet cũng sử dụng những dịch vụ như vậy như Digital River, mà nó ký các phần mềm cho các khách hàng của họ.
Các tác giả của virus cũng có thể sử dụng không đúng các chứng chỉ bị ăn cắp hoặc các khóa cá nhân để ký cho các phần mềm của riêng họ. Một loạt các phiên bản của Adrenalin, Ursnif và các họ ZeuS của các botnet được cho là chứa các chức năng cho việc đọc các dữ liệu phù hợp từ các máy tính cá nhân bị lây nhiễm của các lập trình viên. Tuy nhiên, cho tới nay F-Secure đã chưa tìm thấy bất kỳ phần mềm độc hại nào mà thực sự sử dụng một khóa bị ăn cắp trong cơ sở dữ liệu các phần mềm độc hại của hãng.
According to anti-virus vendor F-Secure, the number of digitally signed malware samples for Windows is increasing - and more and more scareware programs also include a valid digital signature. Virus authors use this method to overcome various hurdles on Windows systems and suppress alerts such as those triggered when a program attempts to install an ActiveX control in Internet Explorer, or before installing a driver. F-Secure's list of potentially undesirable programs contains almost 400,000 digitally signed samples. In terms of malware, the list still includes almost 24,000 samples.
Authenticode is used for signing and checking software under Windows and is meant to verify the origin of software. Users tend to trust digitally signed software. Software without a digital signature triggers a dialogue that explicitly asks the user for confirmation before proceeding with the installation. In the 64-bit versions of Windows 7 and Vista, installing an unsigned driver isn't possible at all, even if a user were to wave it through.
F-Secure say that virus authors successfully use various tricks to obtain valid digital signatures or certificates for their programs. The most reliable method is to trick a Certificate Authority into issuing a code signing certificate. It seems that this has become just as easy as obtaining a valid SSL server certificate – a valid email address is sufficient. Internet frauds and criminals also use such services as Digital River, which sign software for their customers.
Virus authors can also misuse stolen certificates or private keys to sign their own software. Various versions of the Adrenalin, Ursnif and ZeuS families of botnets are said to contain functions for reading the relevant data from developers' infected PCs. However, so far F-Secure has not found any malware that actually uses a stolen key in its malware database.
Những gì được xem là đang xảy ra ngày một thường xuyên hơn là việc một trojan lây nhiễm các tệp trong một hệ thống của các lập trình viên, và rằng toàn bộ gói phần mềm của lập trình viên chứa trojan đó sau đó được ký và được triển khai. Rất thường xuyên, các lập trình viên tạo ra virus cũng ký các ví dụ của họ bằng các khóa và chứng chỉ mà họ đã tự ký cho mình, sử dụng những thông tin giả về người phát hành hoặc người sở hữu để đánh lạc hướng các chương trình và người sử dụng.
F-Secure đánh giá rằng vấn đề này, cho tới nay, chưa đạt tới mức sống còn vì các tác giả virus còn chưa bắt đầu khai thác phương pháp này trên một diện rộng. Tuy nhiên, điều này có thể làm thay đổi bằng sự phổ biến rộng rãi Windows 7, vì phiên bản này dựa nặng hơn vào Authenticode hơn là so với các phiên bản trước của Windows. Trong trường hợp này, các nhà cung cấp chống virus sẽ cần làm việc trong sự hợp tác gần gũi với Cơ quan Xác thực CA để đảm bảo rằng các chứng chỉ bị tổn thương và bị sử dụng sai (và cả các khóa) có thể bị cô lập nhanh nhất có thể.
What does seem to happen more and more often is that a trojan infects files on a developer's system, and that the developer's entire software package including the trojan is subsequently signed and deployed. Very often, virus programmers also sign their samples with keys and certificates they have signed themselves, using bogus information about the issuer or owner to mislead programs and users.
F-secure estimates that the problem has, so far, not reached critical proportions because virus authors have not yet begun to exploit this method on a large scale. However, this could change with the widespread dissemination of Windows 7, because this version relies even more heavily on Authenticode than previous versions of Windows. In this case, anti-virus vendors will need to work in close cooperation with the Certificate Authorities to ensure that compromised and misused certificates (and keys) can be blocked as quickly as possible.
(crve)
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.