Missbrauch von Code-Signaturen für Malware-Kampagnen

Originalbeitrag von Trend Micro Forward-Looking Threat Research Team

Mithilfe eines Machine Learning-Systems hat Trend Micro drei Millionen Software-Downloads analysiert. Hundert Tausende mit dem Internet verbundene Maschinen waren daran beteiligt. Die ersten Ergebnisse bezogen sich auf unerwünschte Software-Downloads und deren Risiken für Unternehmen. Der aktuelle Beitrag stellt die Ergebnisse bezüglich der Praktiken des Signierens von Code dar.

Das Signieren von Code bezeichnet das kryptographische Signieren von Software als effiziente Möglichkeit für das Betriebssystem (etwa Windows), legitime Anwendungen (wie einen Installer von Microsoft Office) von bösartiger Software zu unterscheiden. Alle modernen Betriebssysteme und Browser überprüfen automatisch Signaturen über das Konzept einer so genannten Zertifikatskette.

Valide Zertifikate werden von vertrauenswürdigen Certification Authorities (CAs) ausgestellt oder signiert, und diese werden von Parent CAs nochmals abgesichert. Dieser Mechanismus beruht vollständig auf dem Konzept des Vertrauens. Dabei geht man davon aus, dass Malware-Betreiber per Definition nicht vertrauenswürdig sind und daher auch keinen Zugang zu validen Zertifikaten haben. Doch die Analyse der Sicherheitsforscher zeigt, dass dies nicht stimmt.

Ein ganzer Markt ist rund um die Unterstützung der Tätigkeiten von Malware-Betreibern entstanden, die sich Zugang zu validen Zertifikaten verschafft haben, die dann für das Signieren von bösartiger Software verwendet werden. Es gibt eine Vielzahl bösartiger Software, die von vertrauenswürdigen Authorities signiert ist – vorbei an jeglicher Client-seitigen Validierung, die in neuere Betriebssysteme und Browser eingebaut ist. Der Originalbeitrag umfasst eine Tabelle mit der prozentualen Aufteilung von signierter gutartiger, unbekannter und bösartiger Software. Es zeigt sich, dass mehr bösartige Software signiert ist als gutartige oder legitime (66% versus 30,7%). Dies ist auch für Malware gültig, die über einen direkten Link wie Browser zur Verfügung gestellt wird (81% versus 32,1%).

Diese Verteilung lässt vermuten, dass Malware-Betreiber mehr Mühen in das Signieren von Schadsoftware investieren, die zuerst auf einer Zielmaschine ausgeführt wird (wie Dropper und Adware), als in aggressivere Arten, die eher in einer bereits kompromittierten Umgebung ihr Unwesen treiben. Vom geschäftlichen Standpunkt aus ist dies sinnvoll, denn der Zugang zu validem Code-Signieren ist teuer, und darum nutzen Cyberkriminelle ihr Budget strategisch sinnvoll. Eine Tabelle mit großen Signierern für gut- und bösartige Software-Downloads umfasst der Originalbeitrag.

Manche dieser Signaturanbieter sind lediglich für Schadsoftware zuständig, doch gibt es auch welche, die sowohl gutartige als auch unerwünschte bzw. bösartige Software signieren. Achtung: Darüber hinaus gibt es auch andere Gründe, warum es signierte Zertifikate sowohl für gut- als auch bösartige Software gibt. Diese sind entweder entwendet oder im Untergrund wiederverkauft worden.

Bild 1. Bekannte Signaturanbieter zwischen gutartiger und unerwünschter/bösartiger Software

Missbrauch von Code Signing widerspiegelt sich im Untergrund

In den letzten Jahren hat es mehrere Fälle von Missbrauch des Code Signings gegeben. 2010, kam StuxNet in die Schlagzeilen, als bekannt wurde, dass die Schadsoftware eine gestohlene digitale Signatur von Realtek Semiconductor Corp. nutzte, um WinCC Supervisory Control and Data Acquisition (SCADA)-Systeme aufs Korn zu nehmen. Realtek ist ein globaler Microchip-Hersteller aus Taiwan. Als das Zertifikat zurückgenommen wurde, begann StuxNet, Signaturen einer anderen taiwanesischen, auf Microchip-Design spezialisierten Firma namens JMicron Technology Corp. zu nutzen. Spätere Analysen deuteten darauf hin, dass Cyberkriminelle diese Organisationen kompromittierten, um ihre Entwicklungszertifikate zu stehlen, einschließlich der privaten Schlüssel für das Signieren der Executables.

2014 nach einem massiven Hack bei Sony Pictures wurden Samples einer Malware-Kampagne namens Destover gefunden. Sie waren mit validen Zertifikaten von Sony signiert. Diese Schadsoftware wurde Berichten zufolge in Angriffen auf Sony genutzt, bei denen Unternehmensdaten und persönliche Informationen abflossen und Daten auf Unternehmens-PCs zerstört wurden.

CopyKittens, Suckfly, Turla, and Regin waren weitere bekannte Kampagnen, in denen signierte Zertifikate für bösartige Zwecke eingesetzt wurden.

Probleme bei der Validierung von Zertifikatsanfragen

Ein generelles Problem besteht darin, dass CAs — in unterschiedlichem Ausmaß — die Zertifikatsanfragen nicht richtig validieren. Es ist nicht klar, ob dies willentlich geschieht und auch nicht, wo die Verantwortung endet.

Eine Public Key Infrastructure (PKI) bietet drei Klassen der Zertifikate, wobei zwei davon (Klasse 2 und 3) einen erweiterten Überprüfungsprozess der anfragenden Organisation oder des Unternehmens fordern. Dennoch fanden die Forscher Zertifikate für Organisationen, denen die Verteilung von Malware einfach nachzuweisen war.

Zwei der großen CAs, die während der Recherche in diesem Zusammenhang immer wieder auftauchten, waren Comodo und Certum. Unter tausenden von Binaries, die mit Zertifikaten dieser beiden CAs signiert wurden, waren etwa 14% (Comodo) und 12% (Certum) bösartig. Diese Werte stiegen bis auf 36% während größerer Schadsoftware-Kampagnen. Es gab auch einige Fälle, in denen Zertifikate von Digicert, Symantec und Verisign an Organisationen ausgegeben wurden, die diese später zum Signieren von Malware nutzten.

Quellen der betrügerischen Zertifikate

Die beiden wichtigsten Quellen sind:

  • Gestohlene Zertifikate: von legitimen Organisationen, in denen ein System durch eine Schadsoftware infiziert wurde;
  • Gefälschte Zertifikate: CAs stellen Cyberkriminellen, die eine legitime Organisation nachahmen, Zertifikate aus. Die Angreifer setzen zumeist Social Engineering-Techniken ein.

Einer der größten russischen Finanz-Broker wurde zum Ziel Cyberkrimineller, die betrügerische Zertifikate für Razy Ransomware einsetzten. Trend Micro kontaktierte die Organisation, und die bestätigte, kein solches Zertifikat angefordert zu haben.

In einem anderen Fall ahmten die Angreifer einen Oracle-Vertriebspartner nach, um zwei Zertifikate zu bekommen – eines 2014 als „Oracle America, Inc.“, das andere 2017 als „Oracle Industries”. Die Cyberkriminellen signierten bösartige Dateien wie Spyware, Adware, unerwünschte Browser-Werkzeugleisten und andere. Die Binaries wurden als legitime Oracle-Anwendungen getarnt, wobei eine der Dateien nach einem Java-Programm benannt war.


Bild 2. Malware als Java-Applikation getarnt und mit einem Zertifikat von „Oracle America, Inc.” signiert

Die Forscher fanden auch bösartige Dateien, die mit einem Zertifikat von „Handan City Congtai District LiKang Daily Goods Department” signiert waren. Das Zertifikat war aber bereits zurück genommen worden, wahrscheinlich als Reaktion auf einen Datendiebstahl.

Organisationen, die signierte unerwünschte/bösartige Software verteilen

Es gibt auch Organisationen, die legitime Produkte haben, doch deren nähere Analyse andere Aspekte zutage förderte. Sie scheinen sich bezüglich potenziell unerwünschter Software in einer Grauzone zu bewegen. Zum Teil produzieren und vertreiben sie legale Software wie Werkzeugleisten, Downloader und Archivierungssoftware, doch gibt es in deren „freien Editionen“ auch potenziell unerwünschte Programme. Die Software ist digital signiert mit Zertifikaten von angemessenen CAs. Einige Beispiele:

  • Mindspark Interactive Network — entwickelt und vermarktet Unterhaltungs- und Personal Computing Software,
  • Inbox —liefert kostenlose Kommunikationsplattformen wie Email,
  • Auslogics — vertreibt Werbesoftware (wie Booster) für die Verbesserung der PC-Performance


Bild 3. Auslogics Werbeseite

Im Untergrund verkaufte betrügerische Zertifikate

Die Forscher fanden Werbung für gefälschte Zertifikate in Untergrundforen und Märkten. Dies zeigt, dass Cyberkriminelle wissen, wie nützlich der Mechanismus des Signierens von Code für Malware-Kampagnen ist.

Code-Signaturen sind eine sehr effiziente Technik zum Schutz vor Malware, doch kann sie auch missbraucht werden. Nutzer und Unternehmen sollten deshalb vorsichtig vorgehen in der Bewertung von Software, die auf den eigenen Systemen installiert werden soll.

Malware Detection-Systeme bedürfen der Dateien mit Label, um mit dem Internet verbundene Maschinen vor Infektionen zu schützen. Doch eine Menge an Software-Dateien von weniger bekannten Websites haben kein Label und bleiben daher unbekannte oder nicht definierte Bedrohungen.

In der Analyse zum Thema Missbrauch von Code-Signaturen nutzten die Forscher ein System der Klassifizierung mithilfe von Machine Learning-Technologie. Weitere Ergebnisse sind im Whitepaper Exploring the Long Tail of (Malicious) Software Downloads enthalten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.