Фальшивые подписи, которые ранее применялись в отдельных продвинутых атаках, теперь доступны многим киберпреступникам.
Исследователи компании Chronicle насчитали на VirusTotal почти 4 тыс. образцов ПО с поддельными сертификатами. По словам экспертов, за последние несколько лет фальшивые подписи превратились из оружия отдельных APT-группировок в привычный инструмент, доступный и рядовым преступникам.
Цифровые сертификаты подтверждают легитимность программного обеспечения. Разработчики получают их в специализированных удостоверяющих центрах (УЦ) или приобретают у перекупщиков. Злоумышленники используют украденные или поддельные сертификаты, чтобы подписывать ими вредоносное ПО и обходить защитные системы. Например, в 2019 году этим методом воспользовались операторы вымогателя Shade (Troldesh).
Эксперты построили исследование на изучении файлов Windows PE (portable executable), которые были загружены на VirusTotal за последний год. Специалисты отмечают, что ограниченная выборка объектов не отражает полную картину, но позволяет сделать выводы о существующих тенденциях — что и было целью работы.
Так, исследователи обнаружили 3815 PE-файлов с фальшивыми цифровыми подписями. Почти 80% пришлись на шесть УЦ: Sectigo (ранее — Comodo), Thawte, VeriSign, Symantec, DigiCert и GlobalSign. Лидерство принадлежит первой компании в списке, чья подпись обнаружена примерно у 1900 образцов ПО, или 40% от общего числа вредоносных программ.
Как пояснили эксперты, Sectigo занимает основную часть своего рынка, поэтому злоумышленникам несложно раздобыть их сертификат через третьи руки. В ближайшее время этот центр может еще дальше вырваться вперед — в мае компания объявила о партнерстве с организацией Let’s Encrypt, которая предоставляет разработчикам бесплатные сертификаты.
Цифровые подписи компании Thawte, которая заняла вторую позицию рейтинга, были обнаружены более чем у 600 программ. На третьем месте расположился центр VeriSign почти с 300 образцами.
Издатели сертификатов пытаются бороться с угрозой, отзывая цифровые подписи у программ, которые были уличены во вредоносной активности. За период исследования такая судьба постигла более 20% поддельных сертификатов из тех, что специалисты обнаружили на VirusTotal. Эксперты уточняют, что эта цифра включает лишь те программы, которые прошли повторное сканирование после блокировки. Реальные успехи УЦ, скорее всего, гораздо масштабнее.
Стоит отметить, что объем деятельности того или иного УЦ не влияет на количество отозванных подписей. За период исследования и Sectigo (1900 поддельных сертификатов), и Thawte (600) заблокировали подписи примерно у 350 программ.
Исследователи заключают, что рядовым пользователям стоит проявлять осторожность при установке ПО, поскольку даже проверенная программа может нанести вред компьютеру. Экспертам по безопасности, очевидно, стоит подумать над новым механизмом верификации, который будет опираться на что-то более весомое, нежели простое доверие к сертификационному центру.