Digital signierte Malware nimmt stark zu


Nicht vertrauenswürdige Zertifikate, die zum Signieren von Malware dienen, nehmen laut einer Studie des IT-Sicherheitsanbieters Kaspersky stark zu: Ihre Anzahl habe sich im Jahr 2014 im Vergleich zum Vorjahr verdoppelt. Die Antiviren-Datenbank des Anbieters enthielt Ende 2014 mehr als 6000 nicht vertrauenswürdige, gefährliche digitale Zertifikate, die in Verbindung mit signierter Schadsoftware entdeck wurden. Kaspersky empfiehlt Unternehmen und Systemadministratoren, digitalen Zertifikaten nie uneingeschränkt zu vertrauen. Außerdem sollte ein Ausführen von Dateien, das nur auf der Signatur-Stärke basiert, verhindert werden.

Gefälschte Zertifikate können laut dem BSI auf verschiedene Weise erzeugt werden:

  1. Ein “Innentäter” einer vertrauenswürdigen Stelle erstellt mit dem eigenen Signaturschlüssel ein Zertifikat mit gefälschten Angaben. Dieses Zertifikat ist authentisch und wird bei einer Prüfung als korrekt verifiziert.
  2. Ein Täter gibt sich als eine andere Person aus und beantragt ein Zertifikat, welches auf diese andere Person ausgestellt wird, obwohl der Täter im Besitz des geheimen Schlüssels ist, der mit dem öffentlichen Schlüssel im Zertifikat korrespondiert.
  3. Ein Täter erzeugt ein Zertifikat und signiert es mit einem eigenen Schlüssel. Die Fälschung fällt nur auf, wenn das Zertifikat geprüft wird und dabei festgestellt werden kann, dass das Zertifikat von einer nicht vertrauenswürdigen Stelle ausgestellt wurde.

Kaspersky erwähnt in seinem Blogbeitrag noch einen weiteren, gängigen Weg: Kriminelle klauen gültige Signaturen, um Nutzern und Antiviren-Lösungen vorzugaukeln, eine Datei sei sicher. Damit signierte Files bestehen einfache Prüfungen fälschlicherweise, da sie ja auf der im Zertifikat zugeordneten Person/Organisation zuzuordnen sind.

Immer mehr Angriffe erfolgen heute laut Kaspersky auf der Basis gestohlener oder gefälschter Zertifikate. So nutzte beispielsweise Stuxnet Zertifikate, die von von Realtek und JMicron gestohlen wurden. Und die Akteure der Angriffskampagne “Winnti” entwendeten Zertifikate, die von kompromittierten Unternehmen aus dem Gaming-Bereich stammten, und setzten diese für neue Attacken ein.

Unternehmen sollten die Kontrolle über signierte Dateien mit Antiviren-Schutzlösungen und eigenen Sicherheitsrichtlinien optimieren. So werde das Risiko einer Infizierung über Zertifikat-Täuschungen verringert.

Weitere Tipps zum Thema Zertifikate hat Kaspersky online zusammengestellt.

Eine Liste mit gefälschten Zertifikaten hat der TÜV Süd online gestellt.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.  

Comments (0)

Skip to main content