Thema: Malware, von Amts wegen vertrauenswürdig

[SiLæncer]

Untersuchungen des Antivirenherstellers F-Secure zufolge kursiert immer mehr digital signierte Malware für Windows – auch Scareware trägt immer häufiger eine gültige digitale Unterschrift. Die Virenautoren wollen damit diverse Hürden auf Windows-Systemen nehmen und Warnungen unterdrücken, die etwa beim Versuch der Installation eines ActiveX-Controls im Internet Explorer oder der Installation eines Treibers erscheinen. F-Secure zählt in seiner Liste potenziell unerwünschter Programme fast 400.000 digital signierte Samples. Bei Malware liegt der Umfang immerhin noch bei fast 24.000 Exemplaren.

Unter Windows dient Authenticode zum Unterschreiben und Prüfen von Software, es soll dessen Herkunft belegen können. Üblicherweise bringen Anwender digital signierter Software Vertrauen entgegen. Bei nicht digital signierter Software warnt ein Dialog den Anwender, der der weiteren Installation explizit zustimmen muss. In den 64-Bit-Versionen von Windows 7 und Vista ist die Installation eines nicht signierten Treibers gar nicht möglich, selbst wenn der Anwender eine Warnung abnicken würde.

Die Virenautoren schaffen es laut F-Secure mit diversen Tricks, an gültige digitale Signaturen respektive Zertifikate für ihre Programme zu gelangen. Die zuverlässigste Methode ist, sich bei einer Certificate Authority ein Codesigning-Zertifikat zu erschwindeln. Offenbar sind die Hürden dafür mittlerweile ebenso gering, wie an ein gültiges SSL-Server-Zertifikat zu gelangen – eine gültige E-Mail-Adresse genügt. Zudem nutzen die Betrüger und Kriminellen auch Dienstleister wie Digital River, die Software für Kunden signieren.

Aber auch gestohlene Zertifikate beziehungsweise private Schlüssel lassen sich von Virenautoren zum Unterschreiben der eigenen Software missbrauchen. Einige Versionen der Botnetz-Familien Adrenalin, Ursnif und ZeuS sollen Funktionen enthalten, um derartige Daten von infizierten Entwickler-PCs auszulesen. Bislang hat F-Secure jedoch noch keinen Schädling in seiner Malware-Datenbank gesichtet, bei dem ein gestohlener Schlüssel wirklich benutzt wurde.

Dafür kommt es wohl häufiger vor, dass ein Trojaner auf Entwicklersystemen Dateien infiziert und später das ganze Softwarepaket inklusive Trojaner signiert und verteilt wird. Daneben unterzeichnen die Virenprogrammierer ihre Samples auch sehr häufig mit selbst-signierten Schlüsseln und Zertifikaten, bei denen gefälschte Angaben über den Aussteller oder Inhaber Programme und Anwender in die Irre führen sollen.

Bislang brennt das Thema nach Einschätzung von F-Secure noch nicht auf den Nägeln, da die Virenautoren noch nicht in großem Stil auf den Zug aufgesprungen sind. Dies könne sich jedoch mit der flächendeckenden Verbreitung von Windows 7 ändern, weil dort Authenticode eine noch wichtigere Rolle spiele als bei bisherigen Windows-Versionen. Wichtig sei dann, dass die Antivirenhersteller eng mit den Certificate Authorities zusammenarbeiten, um schnell kompromittierte oder missbräuchlich eingesetzte Zertifikate (und Schlüssel) sperren zu können.

Quelle : www.heise.de

[SiLæncer]

F-Secure hat Malware gefunden, die mit einem gestohlenen digitalen Zertifikat signiert ist. Das schon vor einiger Zeit entwendete Zertifikat stamme vom malaysischen lnstitut für Landwirtschaftliche Forschung und Entwicklung berichtet der Hersteller von IT-Sicherheitssoftware. Der Schädling Trojan-Downloader:W32/Agent.DTIW verbreitet sich über manipulierte PDF-Dateien, die eine Schwachstelle in Adobe Reader 8 ausnutzt.

Ist ein System befallen, werden weitere Schadprogramme von einem Server namens worldnewsmagazines.org geladen, erklärt Mikko Hypponen im F-Secure-Blog . Einige dieser Komponenten seien ebenfalls signiert, jedoch von einer Seite namens www.esupplychain.com.tw. „Es ist nicht üblich, signierte Malware zu finden. Noch seltener ist es, dass sie mit einem offiziellen Schlüssel einer Regierung signiert ist“.

Die Virenautoren setzen auf digital signierte Schädlinge, um Warnmeldungen zu verhindern. Unter Windows dient Authenticode zum Unterschreiben und Prüfen von Software, es soll dessen Herkunft belegen können. Im konkreten Fall würde Windows bei unsignierten Anwendungen dem Benutzer eine Warnung ausgeben – bei signierten jedoch nicht. Ebenso vertrauen manche Sicherheitssysteme signiertem Code mehr als unsigniertem – einige Virenscanner prüfen signierte Dateien nicht auf Schadcode. Bereits vor mehr als einem Jahr beobachtete F-Secure erstmals signierte Malware.

Probleme mit in Malaysia ausgestellten Zertifikaten gab es bereits vor kurzem. Microsoft und Mozilla hatten Anfang November der malaysischen CA DigiCert das Vertrauen entzogen. Von dieser waren 22 Zertifikate aufgetaucht, die nur einen schwachen 512-Bit-Schlüssel verwenden und denen notwendige Zertifikatserweiterungen und Widerrufinformationen fehlten.

Quelle : www.heise.de

[SiLæncer]

Das Zurückziehen (Revoke) eines digitalen Zertifikats führt nicht automatisch dazu, dass damit alle getätigten Signaturvorgänge etwa für Software ungültig werden. Entscheidend ist vielmehr das Revocation Date, das festlegt, ab welchem Zeitpunkt ein Unterschriftsvorgang als ungültig eingestuft wird.

Nach Angaben des Antivirenspezialisten Norman führt dies im Falle mehrerer kürzlich entdeckter Trojaner dazu, dass Windows deren Signatur als gültig einstuft und etwa bei der Installation keinen Warndialog anzeigt. Die Trojaner wurden mit dem gestohlenen Schlüssel eines japanischen Unternehmens signiert. Das dazugehörige Zertifikat wurde zwar am 29. Juli 2011 als kompromittiert gemeldet und vom zu Symantec gehörenden Zertifikatsherausgeber VeriSign zurückgezogen. Allerdings wurde auch genau dieser Tag als Revocation Date vermerkt.

Unglücklicherweise wurden die Trojaner jedoch am 13.April 2010, am 3. Juli 2010 und am 22. Janur 2011 mit dem Schlüssel signiert – also lange vor dem Revocation Date. Damit bleibt die Signatur für ältere Vorgänge gültig; nur nach dem Datum erfolgte Unterschriften würde ein System bemängeln.

Nach Meinung von Norman liegt die Problematik darin, dass die Zertifikatsherausgeber zu vorsichtig beim Festlegen des Revocation Date seien und es eher zu spät als zu früh wählen. Einer der Gründe dafür ist, die vom legitimen Kunden unterzeichnete Software und dessen Dokumente nicht plötzlich ebenfalls als ungültig zu deklarieren. Symantec hat im konkreten Fall nach der Benachrichtigung durch Norman das Revocation Date nun auf den 12. April 2010 vordatiert, womit die Signatur der Trojaner ungültig wird.

Quelle : www.heise.de

[SiLæncer]

Mit Hilfe einer Scheinfirma sollen Kriminelle in Brasilien gültige Zertifikate bei einer Zertifizierungsstelle erworben haben, um damit Malware zu signieren, wie Malwarebytes berichtet. Die neue Methode flog auf, als sie damit einen Banking-Trojaner und ein weiteres Schadprogramm signierten und in Umlauf brachten.

Demnach existierte die Software-Firma "Buster Paper Comercial Ltda" nur auf dem Papier. Die Gültigkeit des Zertifikats ist mittlerweile widerrufen worden. Die Scheinfirma hatte das Zertifikat offiziell bei der Zertifizierungsstelle DigiCert beantragt.

Der Trojaner, der mit dem erschlichenen Zertifikat signiert wurde, verschickt sich per E-Mail mit einer ausführbaren Datei im Anhang, die sich als PDF tarnt. Wird die "PDF" geöffnet, installiert sich die Schadsoftware und lädt weitere Payloads nach, die Bankdaten und Passwörter abgreifen.

In der Vergangenheit wurde Schadsoftware vor allem mit gestohlenen Zertifikaten signiert. Eine gültige Signatur sorgt für ein gesteigertes Vertrauen bei Nutzern und Schutzprogrammen.

Quelle : www.heise.de

[SiLæncer]

Jean-Ian Boutin vom Antivirus-Hersteller Eset hat Trojaner entdeckt, die eine gültige digitale Signatur tragen. Damit schlüpfen die Online-Banking-Spione bei oberflächlichen Checks unter Umständen als harmlos durch. Das verwendete Code-Signing-Zertifikat hat offenbar der Zertifikatsherausgeber DigiCert ausgestellt – und zwar einer Firma, die es schon lang nicht mehr gibt.

Eine gültige Unterschrift der Firma "NS Autos" bestätigte deren Urheberschaft bei einer Reihe von Programmen, die sich bei genauer Analyse als Trojaner entpuppten – zumindest einige davon spezialisiert auf Online-Banking-Betrug. Eine Firma mit dem Namen NS Autos gab es zwar durchaus – allerdings wurde sie 2011 aufgelöst. Das hinderte den Zertifikatsherausgeber DigiCert offenbar nicht daran, ihr am 19. November 2012 ein gültiges Zertifikat für das Unterschreiben von ausführbaren Programmen auszustellen. Erst nach der Benachrichtigung durch Eset wurde das Zertifikat widerrufen.

Der ganze Artikel

Quelle : www.heise.de