Schlagwort-Archive: Zertifikate

Analyse der von Malware genutzten SSL/TLS-Zertifikate

Originalartikel von Mohamad Mokbel, Senior Security Researcher

In den letzten sechs Jahren ist uns aufgefallen, dass Malware sowohl in herkömmlichen als auch in gezielten Angriff immer mehr auf Verschlüsselung setzt. Damit soll die Attacke der Erkennung entgehen und sich in den normalen verschlüsselten Datenverkehr einfügen. Neben Malware nutzen auch Intrusion Frameworks wie Cobalt Strike, Metasploit und Core Impact diese Möglichkeit. In vielen Fällen sind dies X.509-Zertifikate, die normalerweise von SSL/TLS genutzt werden. Wir haben uns mit einigen ungewöhnlichen Merkmalen der von Malware verwendeten Zertifikate befasst und wie diese zur Erkennung bösartiger Aktivitäten genutzt werden können. Wir haben 1767 Zertifikate untersuchen, die von verschiedenen Malware-Familien verwendet wurden.
Weiterlesen

Einbruch bei niederländischer Zertifizierungsstelle: Iranische Internetnutzer werden ausspioniert

Originalartikel von Feike Hacquebord, Senior Threat Researcher

 

Der Angriff auf die niederländische Zertifizierungsstelle DigiNotar hat weitreichendere Auswirkungen als ursprünglich angenommen und betrifft eine Vielzahl von .com-Domains wie beispielsweise google.com. Wie interne Nachforschungen von Trend Micro ergeben haben, sind davon in erster Linie die Internet-Nutzer in mehr als 40 verschiedenen Netzwerken von Internet-Service-Providern und Universitäten im Iran im Visier der Angreifer.

Bereits im Juli waren Hacker in die Systeme von DigiNotar eingebrochen und hatten falsche SSL-Zertifikate für Hunderte Domain-Namen, einschließlich google.com, sowie für die gesamte .com-Top-Level-Domäne, ausgestellt. Eine Liste mit den gefälschten Zertifikaten, die keinen Anspruch auf Vollständigkeit erhebt, ist unter hier abrufbar.

SSL-Zertifikate stellen eine Art digitalen Ausweis dar, mit dessen Hilfe Web-Browser feststellen können, ob eine Web-Site authentisch ist. Das ist aus Anwendersicht insbesondere beim Online-Banking, der abgesicherten Kommunikation über E-Mail-Anbieter oder bei jeder anderen Web-Site relevant, mit der etwa zum Zweck des Online-Shopping eine sichere Verbindung aufgebaut wird. Erst wenn der Austausch der Zertifikate die Echtheit oder Identität der vom Anwender adressierten Website festgestellt hat, kann die verschlüsselte Kommunikation beginnen.

Das Gefährliche an den gefälschten Zertifikaten ist, dass die Web-Browser der Anwender sie nicht als solche erkennen. Dadurch lassen sie sich für so genannte Man-in-the-Middle-Angriffe missbrauchen. Das heißt, dass die Hintermänner hinter der Attacke den kompletten verschlüsselten Datenverkehr der betroffenen Anwender mitlesen können. Die Analyse der Daten aus dem „Smart Protection Network“ von Trend Micro zeigen, dass eine Vielzahl von iranischen Internet-Nutzern derzeit mithilfe solcher Angriffe ausspioniert werden.

Informationen finden sich auch  im Trend Micro Blog unter http://countermeasures.trendmicro.eu/diginotar-iran-certificates-and-you/.