Techniken des maschinellen Lernens helfen bei der Aufdeckung des massiven Missbrauchs von Zertifikaten

Originalbeitrag von Jon Oliver, Senior Architect


Mit Hilfe von Machine Learning-Algorithmen gelang es den Sicherheitsforschern von Trend Micro, den massiven Zertifikatmissbrauch durch BrowseFox aufzudecken. BrowseFox, eine potenziell unerwünschte Anwendung (von Trend Micro als PUA_BROWSEFOX.SMC identifiziert), ist ein Marketing-Adware Plugin, das unerlaubt Popup-Werbung und Discount Deals einschleust. Die Software nutzt einen legitimen Prozess, könnte aber von Bedrohungsakteuren ausgenutzt werden, die die Werbeanzeigen korrumpieren, um Opfer auf bösartige Sites umzuleiten, wo sie unwissentlich Malware herunterladen. Bei der Analyse stellten die Forscher fest, dass BrowseFox einen großen Teil des firmeneigenen Datensatzes von 2 Millionen signierten Dateien ausmacht – Dateien, die auf ihre Gültigkeit und Integrität überprüft wurden.

Entdeckung des BrowseFox Zertifikatsmissbrauchs

Die Forscher erkannten den Zertifikats-Signaturmissbrauch bei der Vorbereitung für die Präsentation auf der BlackHat Asienkonferenz 2017, wo sie vorführten, wie Locality Sensitive Hashing (LSH) für intelligentes/dynamisches Whitelisting genutzt werden kann (kryptographische Hashes wie SHA1 oder MD5 sind für diese Aufgabe völlig ungeeignet).

Bei der Analyse eines Satzes von 2 Millionen signierter Dateien mit Hilfe des Trend Micro Locality Sensitive Hashing (TLSH)-basierten Clusterings stellten die Forscher fest, dass viele der Cluster ein bestimmtes merkwürdiges Feature aufwiesen: die geclusterten Dateien waren durch verschiedene Unterzeichner signiert worden. Das passiert mit vielen legitimen Softwareanwendungen, doch die Cluster im Zusammenhang mit BrowseFox wiesen eine andere Eigenschaft auf. Als sie einen Graphen der Cluster gegen die Unterzeichner konstruierten, bildeten die Cluster eine ungefähre zweiteilige Clique. Danach konnten sie die mit der Clique verbundenen Dateien identifizieren und anschließend etwa eine Viertelmillion der Dateien als BrowseFox-Kandidaten kennzeichnen. Sie überprüften die Kandidaten-Samples auf VirusTotal, stellten fest, dass 5.203 der Hashes der Dateien auf der Website waren und dass es sich tatsächlich dabei um BrowseFox-Dateien handelte. Bei weiteren Untersuchungen fanden sie heraus, dass diese Dateien von 519 verschiedenen Zertifikatsunterzeichnern signiert wurden[1]. Dies scheint die Taktik von BrowseFox zu sein – neue Signierungseinheiten zu erstellen, um gültige Zertifikate zu erhalten.

Wie bereits in Exploring the Long Tail of (Malicious) Software Downloads erklärt wurde, sind signierte Dateien nicht unbedingt von Natur aus gutartig. Tatsächlich kam die Studie zu dem Schluss, dass viele bösartige Software-Downloads signiert sind. Die BrowseFox-Ergebnisse zeigen weiter auf, wie böswillige Akteure gültige Zertifikatssignierer bei der Verbreitung von Malware missbrauchen.

Von den 2 Millionen signierten ausführbaren Dateien in dem Datensatz entdeckten die Forscher, dass es sich bei 244.000 um Malware oder PUA-Dateien von BrowseFox handelte. Diese 244.000 Dateien wurden über zwei strikte Bedingungen erfolgreich als BrowseFox identifiziert: Erstens wurde die Datei von einem der 519 schlechten Unterzeichner signiert, und zweitens fällt sie unter eine der BrowseFox-Gruppen. Weitere technische Details umfasst der Originalbeitrag.

ML- und TLSH-Technologie

Zwei Stile des maschinellen Lernens kamen zum Einsatz: eine Kombination aus unüberwachten und instanzbasierten Machine Learning-Typen. Unüberwachte Lerntechniken ermöglichen es, eine große Menge Dateien ohne Label durchzugehen, einzigartige Muster daraus zu finden und sie entsprechend zu gruppieren. Durch instanzbasierte Lernalgorithmen lässt sich feststellen, welche der nicht gekennzeichneten Dateien schädlich sind, indem man Entfernungswerte berechnet und sie mit bekannten guten und schlechten Dateien vergleicht. Das instanzbasierte Lernen ist nützlich für Anwendungen wie die Identifizierung potenziell unerwünschter Programme (PUPs).

Diese ML-Typen stehen hinter TLSH, mit dem die Forscher die 2 Millionen signierten ausführbaren Dateien, aus denen der BrowseFox-Code Signaturmissbrauch erkannt wurde, bündelten. TLSH ist ein instanzbasiertes maschinelles Lernprogramm, das Trend Micro auf GitHub entwickelte und das zur Erzeugung von Hash-Werten für Whitelisting-Zwecke verwendet wird. Locality sensitive hashing (LSH)-Techniken wie TLSH weichen sowohl vom traditionellen als auch vom kryptographischen Hashing ab, um die Möglichkeit der Bündelung ähnlicher Dateien zu erhöhen.

TLSH’s scalability and speed, relatively higher security against attacks, and better accuracy compared to other fuzzy hashing techniques such as Ssdeep make it the most suitable approach for this purpose. In a paper titled Beyond Precision and Recall: Understanding Uses (and Misuses) of Similarity Hashes in Binary Analysis, TLSH was stated to have consistently outperformed Ssdeep and is “very reliable in recognizing variants of the same software when the code changes.”

Die Skalierbarkeit und Geschwindigkeit von TLSH, die im Vergleich zu anderen Fuzzy-Hashing-Techniken wie Ssdeep relativ höhere Sicherheit und Genauigkeit machen es zum am besten geeigneten Ansatz für diesen Zweck. In Beyond Precision and Recall: Understanding Uses (and Misuses) of Similarity Hashes in Binary Analysis stellen die Autoren fest, dass TLSH Ssdeep konsequent übertroffen habe und sich als „sehr zuverlässig bei der Erkennung von Varianten der gleichen Software, wenn sich der Code ändert,“ erwies.

Fazit

Die Entdeckung des BrowseFox-Zertifikatsmissbrauchs unterstreicht die aktuellen Mängel in Anwendungskontrollsystemen und die Notwendigkeit eines besseren Whitelisting-Prozesses. TLSH ermöglicht die proaktive Erkennung von Hashes gutartiger Dateien und kann mit den regelmäßigen Patches und Versionen einer Software Schritt halten. Neben seiner Fähigkeit, Fehlalarme in Systemen zu reduzieren, unterstützt es auch verschiedene Umgebungen wie Linux, Windows und Python Extension.

Die Liste der 519 verschiedenen Unterzeichner ist im Anhang enthalten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.